1. Общие положения

1. 
   Настоящее Положение описывает Правила работы с информацией и информационными системами (в дальнейшем используется сокращенное определение Правила) и алгоритм управления соблюдением сотрудниками этих правил.
   

2. 
   Целью настоящего Положения является повышения уровня информационной безопасности Компании – рисков утечки / кражи / потери / искажения конфиденциальной информации.
   
3. 
   Данное положение связано со следующими нормативно-методическими документами Компании и/или АБП Компании:
   

• 
  «Положение о конфиденциальной информации Компании «Море Пива»
  
• 
  «Инструкция по организации парольной политики Active Directory»
  

4. 
   Ответственность за поддержание данного Положения в актуальном состоянии, возлагается на Директора департамента информационных технологий.
   
5. 
   Плановая периодичность проведения аудитов и актуализации настоящего Положения проводится не реже одного раза в шесть месяцев.
   
6. 
   Ответственным за выполнение НМД в целом является Директор департамента информационных технологий в рамках, предоставленных Генеральным директором полномочий (https://portal.morepiva.ua/company/personal/user/538/blog/437906).
   
7. 
   Требования данного НМД должны выполнять следующие департаменты(отделы) Компании: все департаменты (все отделы).
   

2. Термины и сокращения

2. 
   
   
   1. 
      Используемые в данном Положении термины и сокращения, вынесены в приложение, которое является его неотъемлемой частью (Приложение 1).
      

3. Правила работы с информацией информационными системами Компании

1. Общие правила работы с информационными системами Компании

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе с информационными системами компании
   
   1. 
      При работе в Корпоративных информационных системах сотрудник обязан соблюдать Парольную политику компании.
      
   2. 
      При получении новых учетных данных в AD, КП, 1С УПП и другие ресурсы, требующие авторизацию, сотрудник обязан сменить пароли на новые.
      
   3. 
      Покидая рабочее место, сотрудник обязан блокировать персональный компьютер (в дальнейшем ПК) - установить экран парольной защиты.
      
   4. 
      При утрате (потере/краже) ПК сотрудник обязан немедленно сообщить об этом непосредственному руководителю и специалисту по информационной безопасности Компании
      
   5. 
      Для получения доступа к информации сотрудник обязан сформировать заявку, в которой указать к какой информации, файлам или данным нужен доступ, с какой целью и для каких задач. Данная заявка подтверждается непосредственным руководителем сотрудника и отправляется на согласование ответственному за ИБ Компании.
      
   6. 
      На рабочих компьютерах используется исключительно разрешенное программное обеспечение (Приложение 2).
      
   7. 
      В случаях выявления фактов:
      

• 
  несанкционированного доступа к информации сотрудниками компании без наличия разрешения доступа к таковой, а также фактов доступа к конфиденциальной информации третьих лиц;
  
• 
  умышленной и неумышленной утечки информации (ошибка в получателе сообщения, месте размещения файлов; передача документов ошибочным получателям);
  
• 
  умышленной и неумышленной порчи и/или искажения информации;
  
• 
  размещения и выявление конфиденциальной информации в публичном доступе (социальные сети, облачные хранилища);
  
• 
  попыток несанкционированного доступа к информации;
  
• 
  использования несанкционированного программного обеспечения сотрудник обязан незамедлительно сообщить об этом ответственному за ИБ Компании.
  

5. 
   При работе с информационными системами Компании ЗАПРЕЩАЕТСЯ:
   
   1. 
      Использовать личные средства (ноутбуки, компьютеры, планшеты, смартфоны и т.д.) за исключением ситуаций согласованных и разрешенных ответственным за ИБ Компании, за исключением Битрикс24.
      
   2. 
      Оставлять незаблокированным ПК без присмотра.
      
   3. 
      Передавать информацию, файлы и данные, а также давать возможность ознакомиться с содержанием документов или файлов сотрудникам и третьим лицам, у которых нет доступа к данной категории информации.
      
   4. 
      Передавать пароли другим сотрудникам и третьим лицам.
      
   5. 
      Использовать несанкционированное программное обеспечение для обмена конфиденциальной информацией.
      
   6. 
      Самовольно устанавливать на рабочие ПК и другие устройства программное обеспечение
      

2. Правила при работе с файлами

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе с файлами
   
   1. 
      Обмен файлами и информацией в электронном виде между сотрудниками производится исключительно посредством:
      

• 
  папок на сетевом диске, доступ к которым предоставлен только группе сотрудников, которые участвуют в обмене информацией, файлами или документами и имеют права на доступ к данной информации, файлам или данным в выделенной для этого обмена папке на сетевом диске;
  
• 
  корпоративной почты;
  
• 
  портала Битрикс24.
  

1. 
   Рабочие файлы, документы, данные и информацию хранить в выделенном для каждого сотрудника (группе сотрудников) разделе (папке) на сетевом диске. Исключение (хранение на локальных дисках) по согласованию с ответственным за ИБ Компании составляют только пользователи, для ноутбуков которых установлена криптозащита. Для согласования с ответственным за ИБ необходимо подать запрос важным сообщением через Живую Ленту в Битрикс24.
   
1. 
   При работе с файлами ЗАПРЕЩАЕТСЯ
   
   1. 
      Хранить на локальных дисках рабочих компьютеров (Диски C, D, Документы, Загрузки и другие локальные размещения), внешних хранилищах, планшетах конфиденциальную информацию.
      
   2. 
      Запрещается запуск стороннего программного обеспечения и исполняемых файлов (с расширениями exe, cmd, bat, js, vbs, com) которые не входят в перечень согласованного ПО.
      
   3. 
      Хранить на рабочих компьютерах и сетевых дисках личную информацию, файлы с данными, фотографии, видео и т.д.
      

3. Правила работы с электронной почтой

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе с электронной почтой
   
   1. 
      Для коммуникаций с внешними и внутренними адресатами Компании используется исключительно корпоративная почта домена @morepiva.ua
      
   2. 
      Использование почтовых ящиков домена @gmail.com разрешено исключительно для авторизации в сервисах Google (Docs, Sheets, Maps и другие) Dropbox, Zoom и для обмена информацией, не содержащей коммерческую тайну Компании.
      
   3. 
      Перед открытием электронного почтового сообщения необходимо убедиться, что оно не относится к категории подозрительных. Признаками таковых являются:
      

• 
  отправитель Вам не известен;
  
• 
  почтовый адрес отправителя содержит случайные комбинации символов;
  
• 
  в теме сообщения содержатся элементы психологической манипуляции - слова «срочно», «важно», «заработок», «наследство», «штраф» и т.д.;
  
• 
  адрес отправителя принадлежит (якобы) известной публичной персоне (мер, артист, политик, генеральный директор);
  
• 
  вы крайне редко (или никогда вообще) не получали писем от данного человека.
  

1. 
   Даже если, отправитель является знакомым получателю, сообщение считается подозрительным в случае если:
   

• 
  содержатся внешние ссылки и вложения, о содержимом которых вы не имеете представления;
  
• 
  в сообщении имеются элементы психологической манипуляции – «смотри, что нашел», «срочно нужна помощь» и т.д.
  

1. 
   Порядок работы с подозрительными письмами:
   

• 
  для известных отправителей – связаться посредством телефонной связи и получить подтверждение отправки сообщения, ссылок и вложений;
  
• 
  для неизвестных отправителей – удалить из почтового ящика и корзины.
  

1. 
   В любом случае, при открытии вложений необходимо убедиться, что оно представляет собой известный Вам тип файла и не является исполняемым типом файла (внимательно посмотреть на иконку и расширение).
   
2. 
   В случае признаков запуска вредоносных вложений, которое повлекло одно или несколько из следующих действий:
   

• 
  «подвисание» - устройство не реагирует на команды ввода (клавиатуры, мышь, тачпад);
  
• 
  открытие (выполнение) неизвестной программы;
  
• 
  моргание / мигание / изменение цвета экрана;
  
• 
  любое другое аномальное для данного устройства поведение необходимо немедленно отключить сетевой кабель устройства, а также сообщить о факте такового ответственному за ИБ Компании.
  

5. 
   При работе с электронной почтой ЗАПРЕЩАЕТСЯ
   
   1. 
      Использование личных адресов не корпоративного домена для деловой переписки с контрагентами.
      
   2. 
      Открывать подозрительные письма неизвестных отправителей.
      
   3. 
      Переходить по подозрительным ссылкам и открывать/сохранять подозрительные вложения даже от доверенных отправителей.
      
   4. 
      Использовать корпоративную почту в личных целях – регистрация на внешних ресурсах: сайтах, форумах, чатах и т.д.
      
   5. 
      Использовать корпоративную почту для осуществления массовых или автоматизированных рассылок без согласования с ответственным за ИБ Компании и Директором департамента информационных технологий.
      

4. Правила работы в сети Интернет

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе в сети Интернет
   
   1. 
      Работа с Интернет-страницами осуществляется разрешенными браузерами (Приложение 2).
      
   2. 
      Посещать сайты (интернет-страницы) исключительно для выполнения функциональных обязанностей сотрудника.
      
5. 
   При работе в сети Интернет ЗАПРЕЩАЕТСЯ
   
   1. 
      Посещение интернет-страниц, не имеющих отношения к выполнению функциональных обязанностей сотрудника
      
   2. 
      Использование VPN и/или прокси-серверов
      
   3. 
      Посещение страниц с запрещенным (порнографические материалы, незаконный оборот наркотических средств, оружия) материалами, и запрещенных на территории Украины.
      
   4. 
      Переходить по провокационным, подозрительным баннерам и ссылкам.
      
   5. 
      Загрузка неизвестных файлов и/или программного обеспечения на локальных компьютер.
      
   6. 
      Регистрация с корпоративными данными (почта, телефон) на ресурсах не имеющих прямого отношения к функциональным обязанностям сотрудника.
      
   7. 
      Использование различного рода сканеров (nmap и подобные) Интернет-ресурсов и корпоративной сети.
      
   8. 
      Размещение на Интернет-ресурсах конфиденциальной информации компании без согласования с руководителем и ответственным за ИБ Компании.
      

5. Правила работы с внешними носителями информации

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе с внешними носителями информации
   
   1. 
      К внешним носителям информации относятся – flash-накопители, SD-карты, съёмные жесткие и SSD диски.
      
   2. 
      Внешние носители могут использоваться только по согласованию с ответственным за ИБ Компании и только после проверки устройства.
      
5. 
   При работе с внешними носителями информации ЗАПРЕЩАЕТСЯ
   
   1. 
      Подключать к ПК любые внешние носители без проверки и разрешения ответственного за ИБ Компании.
      
   2. 
      Копировать и хранить конфиденциальную информацию без разрешения ответственного за ИБ Компании.
      
   3. 
      Выносить за пределы Компании носители, на которых хранится конфиденциальная информация без разрешения ответственного за ИБ Компании.
      

6. Правила работы с бумажными носителями информации

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Требования к работе с бумажными носителями информации
   
   1. 
      В случае если документ содержащий конфиденциальную информацию более в работе не нужен и не подлежит хранению, обязательно его уничтожить в шредере.
      
   2. 
      Документы с конфиденциальной информацией не оставлять на рабочих столах и не давать доступа посторонним и сотрудникам других отделов.
      
   3. 
      Передавать документы с конфиденциальной информацией только в соответствии с утвержденными бизнес процессами и только сотрудникам которые имею доступ к информации, содержащейся в документах.
      
5. 
   При работе с бумажными носителями информации ЗАПРЕЩАЕТСЯ:
   
   1. 
      Оставлять без присмотра на рабочем столе документы содержащие конфиденциальную информацию
      
   2. 
      Использовать документы содержащие конфиденциальную информацию в качестве черновиков.
      
   3. 
      Выносить за пределы офиса документы содержащие конфиденциальную информацию.
      
   4. 
      Передавать документы сотрудникам и третьим лицам которые не имею доступа к информации, содержащейся в документе.
      

4. Порядок выполнение контроля за соблюдением правил работы

   1. Общая информация

      1. 
         Контроль за выполнением правил работы возлагается на специалиста по информационной безопасности Компании
         
      2. 
         Виды контроля. Контроль подразделяется на плановый, внезапный и текущий
         
         1. 
            Плановый – осуществляется по ежемесячно согласованному плану. Все сотрудники Компании предупреждаются о таковом за 5 дней
            
         2. 
            Внезапный – производится без предупреждения, по инициативе следующих должностных лиц:
            

• 
  Генерального директора
  

3. 
   Текущий – выявление нарушений в следствие наблюдений сотрудниками Компании при выполнении своих должностных обязанностей
   

2. Планирование контроля

   1. 
      Ответственный за исполнение шага
      

2. 
   Ответственный за контроль исполнения
   

3. 
   Инициирующие события
   

4. 
   Действия, выполняемые ответственным за исполнение
   

5. 
   Требование к способу выполнения действий
   

• 
  План проверок должен соответствовать форме Приложения 3
  
• 
  Согласование плана должно быть осуществлено не позднее 5 числа календарного месяца
  

6. 
   Результат выполняемого действия
   

7. 
   Требования к результату выполнения действия
   

3. Осуществление контроля

   1. 
      Ответственный за исполнение шага
      

2. 
   Ответственный за контроль исполнения
   

3. 
   Инициирующие события
   

4. 
   Действия, выполняемые ответственным за исполнение
   

5. 
   Требование к способу выполнения действий
   

6. 
   Результат выполняемого действия
   

7. 
   Требования к результату выполнения действия
   

4. Информирование о результатах

   1. 
      Ответственный за исполнение шага
      

2. 
   Ответственный за контроль исполнения
   

3. 
   Инициирующие события
   

4. 
   Действия, выполняемые ответственным за исполнение
   

• 
  Директора департамента безопасности
  
• 
  Директора департамента информационных технологий
  
• 
  Директоров департаментов сотрудников, по которым производилась проверка
  

1. 
   Требование к способу выполнения действий
   

• 
  Сообщение в Задаче Битрикс24
  
• 
  информирование осуществлено не позднее 5 рабочих дней по факту завершения проверки
  

6. 
   Результат выполняемого действия
   

7. 
   Требования к результату выполнения действия
   

5. Требования к мере ответственности за нарушение правил

   1. 
      Ответственный за выполнение требований
      

2. 
   Ответственный за контроль выполнения требований
   

3. 
   Результат выполнения требований
   

4. 
   Описание требований:
   
   1. 
      Нарушения правил фиксируются ответственным за контроль выполнения Правил в соответствующем журнале (Приложение 5)
      
   2. 
      При первом выявлении нарушении правил, сотруднику делается предупреждение важным сообщением в Битрикс24 с уведомлением прямого руководителя данного сотрудника
      
   3. 
      При повторном выявлении нарушения – информация доводится Директору департамента и/или Блока сотрудника нарушителя.
      
   4. 
      При систематическом (более 2-х раз) нарушении правил – информация передаётся в Департамент безопасности для проведения беседы с сотрудником и дальнейшего решения по сотруднику, который ставит под угрозу информационную безопасность Компании «Море Пива».
      

Приложение 1. Термины и сокращения

Приложение 2. Перечень разрешенного программного обеспечения

1. 
   Операционные системы
   

• 
  Windows 10 Professional
  

2. 
   Офисные программы
   

• 
  Пакет Microsoft Office - Word, Excel, PowerPoint, Outlook, Access, OneNote, Visio, Project
  
• 
  MindManager, X-mind
  
• 
  Adobe Acrobat (Продукты Adobe)
  
• 
  Dropbox
  
• 
  Hikvision IVMS-4200
  
• 
  АВК
  
• 
  Spaceman
  
• 
  Datecs manager
  
• 
  AutoCAD
  
• 
  SketchUp 2020
  
• 
  OBS Studio
  
• 
  Libre Office
  

3. 
   Программное обеспечение для учета и анализа данных
   

• 
  1C
  
• 
  Qlik
  
• 
  Расширение для работы с 1С: Предприятием
  

4. 
   Мессенджеры
   

• 
  Skype
  
• 
  Skype for Business
  
• 
  Zoom
  

5. 
   Браузеры
   

• 
  Chrome, Firefox, IE (Edge)
  

6. 
   Справочное программное обеспечение
   

• 
  ПО "ЛІГА ЗАКОН"
  

Приложение 3. План проверок

Приложение 4. Акт проверки

Приложение 5. Журнал проверок