Руководство по выработке правил разграничения доступа к ЭВМ



         

Каковы права и обязанности пользователей?


Ваши ПРД должны включать пункты о правах и обязанностях пользователей в отношении использования СВТ и сервисов организации. Должно быть явно установлено, что пользователи отвечают за понимание и соблюдение правил безопасности в АС, которые они используют. Далее приводится список моментов, которые вы можете захотеть зафиксировать в этой области ПРД:

  • каковы рекомендации в отношении использования ресурсов (ограничиваются ли пользователи в чем-либо, и если это так, то каковы эти ограничения);
  • что может явиться злоупотреблением с точки зрения производительности АС;
  • разрешается ли нескольким пользователям использовать одно регистрационное имя или позволять другим использовать их имена;
  • как "секретным" пользователям следует хранить свои пароли;
  • как часто пользователям следует менять свои пароли, а также любые другие ограничения или требования в отношении паролей;
  • будете ли вы производить резервные копии, или пользователям следует самим делать свои копии;
  • запрет на разглашение информации, которая может являться частной собственностью;
  • пункт о безопасности электронной почты(Акт о конфиденциальности электpонных коммуникаций);
  • политика в отношении электронных коммуникаций: фальсификация почты.

Ассоциация электpонной почты финансиpовала публикацию о конфиденциальности электpонной почты в компаниях[4]. Их базовой рекомендацией в отношении электронной почты является то, что каждая организация должна иметь политику по защите частной собственности своих служащих. Также рекомендуется, чтобы организации установили политику в отношении частной собственности при использовании всех сред передачи информации, а не только электронной почты.

Предлагается пять критериев для оценки любой политики:

  • Согласуется ли политика с законами и требованиями общественных организаций?

  • Пытается ли политика найти компромисс между интересами служащих, руководства организации и общественных организаций?

  • Действует ли эта политика в жизни и требуют ли ее соблюдения?

  • Касается ли эта политика различных форм взаимодействия и хранения информации, имеющих место в организации?

  • Была ли эта политика известна заранее и согласована со всеми заинтересованными лицами?




    Содержание  Назад  Вперед