Все работы в пределах офисов выполняются в соответствии с должностными обязанностями и только на компьютерах, разрешенных к использованию. Внос в здания и помещения личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы производится только при согласовании с руководителем предприятия.
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры должны быть оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
Доступ третьих лиц к системам.
Каждый сотрудник обязан немедленно уведомить руководителя Организации информационных технологий и руководителя Организации защиты информации обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам должен быть четко определен, контролируем и защищен.
Удаленный доступ.
Пользователи получают право удаленного доступа к информационным ресурсам с разрешения руководства.
Сотрудникам, использующим в работе портативные компьютеры, может быть предоставлен удаленный доступ к сетевым ресурсам в соответствии с правами в корпоративной информационной системе.
Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети и к каким-либо другим сетям, не принадлежащим организации.