Правила

информационной безопасности

при использовании Программного продукта

1. Термины и определения

Программный продукт – программа для ЭВМ «Система управления рабочим временем timebook» (№ 5473 от 24.06.2019 в Едином реестре российских программ для ЭВМ и БД), предназначенная для работы с отметками Учетных единиц, выполненными с помощью АПК/АПК-terminal, мобильного приложения timebook. Использование Программного продукта осуществляется посредством облачной инфраструктуры.

Клиент – юридическое лицо, индивидуальный предприниматель, заключившее(ий) с ООО «Таймбук» договор оказания услуг по предоставлению доступа к сервисам сайта/ лицензионный договор, предоставляющий право на использование Программного продукта на условиях простой (неисключительной) лицензии.

Пользователь – представитель Клиента, наделенный правом доступа к Программному продукту.

Хакерская атака — целенаправленная (таргетированная) компьютерная атака, целью которой является захват контроля (повышение прав) над информационной системой Клиента/Пользователя, либо ее дестабилизация, либо отказ в обслуживании, неправомерно совершенная третьими лицами.

Угроза – опасность, предполагающая возможность потерь (ущерба).

Риск – мера, учитывающая вероятность реализации Угрозы и величину потерь (ущерба) от реализации этой Угрозы.

Информационная безопасность (ИБ) – безопасность, связанная с Угрозами в информационной сфере (информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений).

Защитная мера – сложившаяся практика, процедура или механизмы, которые используются для уменьшения риска нарушения информационной безопасности Программного продукта.

Инцидент – событие ИБ, указывающее на свершившуюся, предпринимаемую или вероятную реализацию Угрозы ИБ.

2. Общие положения

2.1. Правила информационной безопасности при использовании Пользователями Программного продукта (далее – Правила) разработаны в соответствии с:

  • Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;

  • Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;

  • иными законодательными, нормативными и внутренними актами, регулирующими вопросы информационной безопасности;

  • Политикой информационной безопасности ООО «Таймбук»;

  • Политикой в отношении обработки персональных данных в ООО «Таймбук».

2.2. Правила являются обязательными к исполнению всеми Пользователями, допущенными к работе с Программным продуктом.

2.3. Правила определяют Защитные меры по обработке Рисков нарушения ИБ при использовании Программного продукта Пользователями, при этом Пользователь обязан учитывать, что:

  • сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

  • существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;

  • существует вероятность хакерской атаки на оборудование, программное обеспечение и информационные ресурсы Клиента, подключенные / доступные из сети Интернет;

  • гарантии обеспечения Информационной безопасности при использовании сети Интернет никаким органом / организацией не предоставляются;

  • меры по нейтрализации хакерской атаки могут быть эффективными только в течение первых часов после возникновения Инцидента.

3. Ограничение ответственности ООО «Таймбук»

3.1. В связи с тем, что для доступа к Программному продукту Пользователь использует технические и программные средства, не принадлежащие ООО «Таймбук»,  ООО «Таймбук» не несет ответственности за любые действия третьих лиц с использованием таких технических и программных средств.

3.2. ООО «Таймбук» принимает необходимые и возможные меры по минимизации ущерба от Инцидента и минимизации вероятности реализации Угроз путем постоянного анализа Программного продукта, своих информационных систем на наличие уязвимостей и путем применения защитных мер к найденным уязвимостям.

3.3. ООО «Таймбук» может в одностороннем порядке остановить предоставление доступа Пользователю к Программному продукту в случае обнаружения подозрительных активностей от имени Пользователя.

4. Защитные меры, которые должны выполняться Пользователями

4.1. Защитные меры общего характера:

4.1.1. используйте только лицензированное программное обеспечение. ПОМНИТЕ: помимо того, что Вы несете уголовную ответственность за пользование нелицензированным программным обеспечением в соответствии со статьей 146 УК РФ, использование подобного программного обеспечения может привести к предоставлению посторонним лицам доступа к сведениям конфиденциального характера на вашем компьютере;

4.1.2. регулярно (не реже раза в неделю) проводите проверку на наличие новых версий программного обеспечения, установленного на компьютере, производите установку обновлений операционной системы и обновляйте антивирусные базы;

4.1.3. используйте и оперативно обновляйте специализированное программное обеспечение для защиты информации – антивирусное программное обеспечение, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.;

4.1.4. используйте и оперативно обновляйте системное и прикладное программное обеспечение только из доверенных источников, гарантирующих отсутствие вредоносных программ. При этом необходимо обеспечить целостность получаемых на носителях или загружаемых из Интернета обновлений;

4.1.5. соблюдайте правила безопасной работы в Интернете, а именно: не подключайте к компьютеру непроверенные на наличие вирусов отчуждаемые носители (флешки, диски и т.п.), не читайте подозрительных электронных писем, максимально ограничьте использование Интернет-пейджеров (Skype, Viber, WhatsApp и пр.) и т.п.;

4.1.6. не запускайте на своем компьютере программы, полученные из незаслуживающих доверия источников;

4.1.7. используйте межсетевой экран, блокирующий передачу нежелательной информации;

4.1.8. назначьте пароль для компьютера/устройства, с которого осуществляется работа с Программным продуктом. Пароль должен соответствовать требованиям п. 4.2;

4.1.9. при уходе с рабочего места, даже на пару минут, осуществляйте его блокировку, через Пуск>Завершение работы>Спящий режим, либо нажатием сочетания клавиш Win+L.

4.2. Защитные меры при использовании логинов и паролей:

4.2.1. никогда не записывайте логины и пароли на бумаге, мониторе или клавиатуре и никому не сообщайте их, даже хорошо известным вам сотрудникам. Если кому-то потребовался срочно доступ к Программному продукту по различным причинам, то он должен согласовать его со своим непосредственным руководителем и предоставить запрос в ООО «Таймбук» для доступа к Программному продукту, для этого ему выдадут другие учетные записи;

4.2.2. не храните пароли и логины на компьютере (в текстовых файлах и иных документах), так же нельзя сохранять пароли в браузере, для автоматического заполнения полей авторизации;

4.2.3. не используйте одинаковые логин и пароль для доступа к различным системам (сайтам интернета). Для доступа к Программному продукту необходимо придумать новый пароль, который вы еще ранее нигде не использовали;

4.2.4. не вводите пароль при присутствии посторонних лиц, они могут подсмотреть вводимый вами пароль;

4.2.5. пароль для входа в Программный продукт должен состоять минимум из 10 символов, содержать не менее 3 заглавных латинских букв, 3 строчных латинских букв, 3 цифр и 1 специального символа из списка: `-=[];\’,./~!@#$%^&*()_+{}:»<>?|);

4.2.6. меняйте пароль для входа в Программный продукт один раз в 90 дней, если иной срок смены пароля не настроен по запросу Клиента;

4.2.7. не позволяйте третьим лицам придумывать, генерировать, и задавать за Вас пароль.

4.3. Защитные меры при работе с электронной почтой (особенно, если Вы используете открытые почтовые серверы, типа mail.ru, yandex.ru и т.д.):

4.3.1. если вы получили на электронную почту письмо, содержащее просьбу обновить или предоставить какую-либо информацию со ссылкой на какой-либо сайт или телефон (в том числе – сайт www.timebook.ru), не открывайте ссылки, указанные в сомнительном письме, в котором вас просят указать конфиденциальные данные. Не звоните по телефонам, указанным в подобных письмах, и не отвечайте на них. Если информация запрашивается с целью предоставления доступа к Программному продукту, сообщите в ООО «Таймбук» о получении подозрительного письма, направив обращение по адресу: it@timebook.ru.

4.3.2. не открывайте приложения к письмам от незнакомых отправителей (в т.ч. word, pdf файлы), так как в них могут быть вирусы (вредоносное программное обеспечение), способные украсть ваши логин и пароль для доступа к Программному продукту, и совершать в дальнейшем действия от вашего имени. Вредоносное программное обеспечение способно отслеживать все ваши действия, а также получать доступ ко всем файлам на вашем компьютере;

4.3.3. не открывайте и не запускайте любые приложения к письму с расширением .exe, даже если письмо пришло от знакомого отправителя.

4.4. Защитные меры при работе с Программным продуктом:

4.4.1. не осуществляйте работу с Программным продуктом с компьютера, не оснащенного средствами защиты информации указанных в п. 4.1.3, 4.1.7 Правил, а также с компьютера, на котором осуществляется работа под общей учетной записью (под одним пользователем, могут работать несколько людей);

4.4.2. соблюдайте регламент ограниченного физического доступа к компьютеру, с которого осуществляется взаимодействие с Программным продуктом, рекомендуется иметь утвержденный список сотрудников организации, включая ответственных сотрудников и технический персонал, которым разрешен доступ к компьютерам, с которых осуществляется работа в Программном продукте;

4.4.3. не устанавливайте на компьютере, который используется для взаимодействия с Программным продуктом, постороннее программное обеспечение, например, программы автоматического переключения раскладки клавиатуры, различные дополнения к браузерам и т.п. Подобные программы могут передавать информацию о содержимом просматриваемых страниц посторонним лицам;

4.4.4. перед вводом своего пароля убедитесь, что вы установили соединение с легальным сайтом. Проверьте правильность указания адреса сайта (уникальный адрес — https://timebook.ru), наличие сертификата безопасности. В случае обнаружения подозрительных web-сайтов, доменные имена и стиль оформления которых схожи с именами и оформлением официальных сайтов ООО «Таймбук», просьба сообщить об этом по электронной почте it@timebook.ru.

4.4.5.  Если вы в строке браузера видите одно из следующих изображений:   

                                                           

                                                           

 

то необходимо отказаться от ввода логин/пароль для доступа к Программному продукту, а также уведомить о данном факте по электронной почте: it@timebook.ru

4.4.6. Если при попытке доступа к Программному продукту, вам выдается следующее сообщение:

                                             

     

то необходимо прекратить использование сайта. Возможно, вы стали жертвой мошенника. О данном факте необходимо уведомить по электронной почте it@timebook.ru.

4.4.7. не пользуйтесь Программным продуктом в Интернет-кафе, на домашнем компьютере, а также там, где вы не уверены в безопасности компьютеров и доверенности среды исполнения;

4.4.8. не сообщайте посторонним лицам, а также кому бы то ни было через сеть Интернет, по телефону либо любым иным способом, логины и пароли доступа к Программному продукту, контактные и учетные данные, так как эти данные могут быть использованы мошенником для получения доступа к Программному продукту;

4.4.9. в случае если доступ к Программному продукту осуществляется с использованием постороннего компьютера, не рекомендуется сохранять на нем логин/пароль, данные и другую информацию, а после завершения всех операций нужно убедиться, что идентификационные данные и другая информация не сохранились, после возвращения к штатному персональному компьютеру крайне желательно поменять пароль;

4.4.10. при увольнении сотрудника, имевшего доступ к Программному продукту, немедленно пометьте его как «Уволенный»;

4.4.11. при возникновении любых подозрений на компрометацию (кражу, потерю) паролей или компрометацию среды исполнения (наличие в компьютере вредоносных программ) необходимо обязательно сообщить в ООО «Таймбук» (по электронной почте: it@timebook.ru) и заблокировать доступ к Программному продукту;

4.4.12. в случае обнаружения вирусов (вредоносного программного обеспечения) на компьютере, после их удаления незамедлительно смените логин и пароль для доступа к Программному продукту и компьютеру;

 

4.4.13. при обнаружении подозрительных действий (признаков подозрительных действий), совершенных от Вашего имени в Программном продукте, незамедлительно смените пароль, сообщите об Инциденте в Службу клиентского сервиса ООО «Таймбук» по электронной почте: it@timebook.ru.