Политика информационной безопасности (IT Security Cookbook)

Все основные информационные ресурсы должны иметь владельца.

Владелец должен определить уровень секретности информации (из списка ниже) в зависимости от требований законодательства, затрат, корпоративной политики и бизнес-требований. Он является ответственным за сохранность этой информации.

Владелец должен определить круг лиц, имеющих доступ к информации.

Владелец является ответственным за эти данные и должен обеспечить их защиту в соответствие с определённым уровнем секретности.

Предлагаемая система классификации делит информацию на четыре класса. Самый низкий, первый, наименее секретный, а наивысший, четвёртый, предназначен для самых важных данных и процессов. Каждый класс включает в себя требования предыдущего. Например, если система соответствует третьему классу, то она должна следовать требованиям первого, второго и третьего классов. Если в системе есть данные по более чем одному классу, то вся система классифицируется по наивысшему классу содержащейся информации.

Описание: Данные в этих системах могут быть доступны широкому кругу лиц без ущерба для компании (т. е. данные не конфиденциальны). Целостность данных не является жизненно важной. Прекращение обслуживания из-за атаки - приемлемый риск. Примеры: тестовые сервисы без секретной информации, некоторые справочные службы.

Требования к хранению: отсутствуют.

Требования к передаче: отсутствуют.

Требования к уничтожению: отсутствуют.

Описание: Доступ извне к этим данным должен быть ограничен, но последствия в случае их разглашения некритичны (т. е. компания может оказаться в неловком положении). Доступ внутри компании регламентирован. Целостность данных важна, но не жизненно. Примеры таких данных можно встретить у разработчиков (отсутствие реальных данных), в некоторых общественных сервисах, клиентских данных, «обычных» рабочих документах, протоколах собраний и внутренних телефонных книгах.

Требования к хранению:

1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.

2. ИТ системы, восприимчивые к вирусным атакам, должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться.

Требования к передаче:

1. Для проектов с привлечением внешних партнёров нужно указать в проектной документации какая информация может быть передана за пределы компании.

2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована.

3. Внутренняя информация не должна передаваться за пределы компании за исключением ситуаций из пунктов 1 и 2.

Требования к уничтожению: отсутствуют.

Описание: Данные этого класса конфиденциальны внутри компании и защищены от доступа извне. В случае доступа к этим данным посторонних возникает риск воздействия на эффективность компании, привести к ощутимым финансовым потерям, дать преимущество конкурентам или раскрыть данные о клиентах. Целостность данных жизненно важна. Примеры: размер заработной платы, персональные данные, бухгалтерская информация, секретные данные о клиентах, проектах и контрактах. Центры обработки данных обычно поддерживают этот уровень безопасности.

Требования к хранению:

1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.

2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ.

3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).

Требования к передаче:

1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).

2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована. Алгоритмы шифрования должны быть стойкими¹⁾. Требования к уничтожению:

1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).

Описание: Неавторизованный доступ к этим данным извне или изнутри является критичным для компании. Целостность данных жизненно важна. Число лиц, имеющих доступ к этим данным должно быть минимальным. Следует придерживаться очень строгих правил при использовании этих данных. Примеры: военная тайна, информация о планируемых крупных контрактах/реорганизации/финансовых операциях.

Требования к хранению:

1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.

2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ и должна ежегодно подвергаться аудиту.

3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).

4. Информация должна храниться в зашифрованном виде или на съёмных носителях, физический доступ к которым ограничен.

Требования к передаче:

1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).

2. Эта информация должна шифроваться во время передачи за пределы защищённых зон. Алгоритмы шифрования должны быть стойкими²⁾.

Требования к уничтожению:

1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).

Соблюдение законодательства и корпоративной политики

Местные, национальные и международные правовые нормы (например, неприкосновенность данных, запрет на распространение порнографии) должны одинаково соблюдаться.

Интернет-порнография: интернет в настоящее время рассматривается как основной носитель незаконных материалов, от мягкой порнографии до педофилии и пропаганды нацизма.

Если подобный материал проходит через шлюз компании, он должен быть блокирован.

Персоналу не разрешается использовать компьютеры и другое оборудование компании для доступа к подобным материалам. Пользователи могут быть подвержены взысканию, если это распоряжение будет нарушено.

Законы о неприкосновенности личной жизни: персональные данные должны защищаться в соответствие с законами неприкосновенности личной жизни той страны где они хранятся или обрабатываются.

• Политика информационной безопасности для персонала (IT Security Cookbook)
• Политика обеспечения физической защиты (IT Security Cookbook)
• Политика обеспечения компьютерной и сетевой безопасности (IT Security Cookbook)
• Политика обеспечения непрерывности ведения бизнеса (IT Security Cookbook)

boran.com