Читать книгу Политики безопасности компании при работе в Интернет - Группа авторов - Страница 43

Введение

Во введении должны быть описаны основные цели и задачи политики безопасности.

Основной целью настоящей политики безопасности является предоставление гарантий защиты информации на всех основных этапах жизненного цикла информационной системы компании. Политика безопасности применима ко всем компонентам информационной системы компании и содержит следующие разделы:

• Состав и структура информационных активов компании;

• Классификация и категорирование информационных активов;

• Определение владельцев информационных активов;

• Анализ угроз и информационных рисков;

• Выработка требований к защите конфиденциальной информации;

• Определение принципов, подходов и способов организации требуемого режима информационной безопасности;

• Создание требуемого режима информационной безопасности компании;

• Поддержка режима информационной безопасности компании.

Далее следует краткое изложение политики безопасности. Здесь важно показать позицию руководства компании по вопросу организации режима информационной безопасности.

Настоящая политика безопасности определяет общие цели и задачи компании по обеспечению информационной безопасности и управлению информационными рисками. Утверждается руководством компании и является обязательной для исполнения всеми сотрудниками, партнерами и клиентами компании. Вводная часть политики безопасности может быть описана следующим утверждением: «Доступ к конфиденциальной информации компании предоставляется только авторизованным сотрудникам и пользователям компании для выполнения своих служебных обязанностей».

Нарушение политики и ответственность

В этом пункте описывается, что является нарушением политики безопасности, а также степень ответственности за нарушения политики безопасности.

Нарушение настоящей политики безопасности может привести к тяжелым последствиям для компании, в частности к невозможности предоставлять услуги, поддерживать целостность, конфиденциальность и доступность данных и пр.

Преднамеренные действия сотрудников компании, которые привели к нарушению настоящей политики безопасности, влекут за собой дисциплинарные наказания. Преднамеренные или повторяющиеся нарушения политики безопасности, имеющие тяжелые последствия, могут быть приняты как основание к увольнению сотрудника или расторжению контракта, если нарушение произошло по вине клиента или вендора. Все сотрудники компании обязаны строго выполнять требования настоящей политики безопасности.

Область действия политики безопасности

Область действия политики безопасности определяется руководством компании и описывает границы ее применимости.

Действие настоящей политики безопасности распространяется на:

• сотрудников компании с полной и частичной занятостью, обладающих правами доступа к конфиденциальным ресурсам компании;

• вендоров, обладающих правами доступа к конфиденциальным ресурсам компании;

• клиентов и партнеров, обладающих правами доступа к конфиденциальным ресурсам компании.

Использование информации

Кратко описывается порядок использования информации.

Все сотрудники компании, обладающие правами доступа к конфиденциальной информации компании, должны ее обрабатывать в соответствии с требованиями настоящей политики безопасности. Для надлежащей защиты информации должны быть использованы механизмы идентификации, аутентификации и авторизации.

Каждый сотрудник, ответственный за сохранение конфиденциальной информации компании, должен обеспечить надлежащую маркировку информации и использовать рекомендуемые средства защиты информации.

Передача информации

Кратко описывается порядок передачи информации по сети.

Передача данных по сети компании осуществляется в соответствии с требованиями настоящей политики безопасности.

Хранение информации

Описывается подход к хранению информации.

Хранение данных в сети компании осуществляется в соответствии с требованиями настоящей политики безопасности.

Уничтожение носителей информации

Описывается подход к уничтожению носителей информации.

Уничтожение носителей информации осуществляется в соответствии с процедурой отдела безопасности компании.

Утверждения политики безопасности

Этот пункт содержит детальное описание основных положений политики информационной безопасности компании.

Цели

Цели описывают административные задачи политики безопасности и почему она необходима.

Цели создания этой политики:

• разработать и довести до сотрудников компании требования по защите конфиденциальной информации компании;

• гарантировать безопасность, целостность и доступность конфиденциальных данных компании;

• установить базовый уровень защиты информации в компании.

Состав и структура информационной системы

Содержится описание состава и структуры информационной системы компании.

Обязанности по защите информации

Определение обязанностей компании по защите информации является важной задачей.

К названным обязанностям относятся следующие:

• все организационные бизнес-единицы и структуры компании должны гарантировать, что их сотрудники действуют в соответствии с настоящей политикой безопасности;

• отделы сетевых операций и системного администрирования должны гарантировать, что ведутся и надежно хранятся журналы и аудиторские записи о предоставлении доступа к конфиденциальной информации компании;

• отделы безопасности информации, сетевых операций и системного администрирования должны гарантировать выполнение всех необходимых механизмов обеспечения безопасности;

• отдел управления рисками отвечает за корректную классификацию информации для выполнения требований безопасности;

• отдел внутреннего аудита отвечает за регулярные проверки правильности классификации информации и защищенности компонент информационной системы компании.

Другие обязанности

Важно, чтобы политика безопасности детализировала обязанности отдельных отделов и/пли групп сотрудников.

К другим обязанностям относятся следующие:

• все партнеры компании, вендоры, провайдеры и сторонние организации, которые участвуют в процессе обработки конфиденциальной информации компании, должны руководствоваться четко документированной политикой безопасности для сторонних организаций;

• все партнеры компании, вендоры, провайдеры и сторонние организации, которые имеют доступ к конфиденциальной информации компании, должны подписать соглашение об обязательном исполнении настоящей политики безопасности.

Документирование

Документирование гарантирует, что политика безопасности принята к действию и соблюдается на рабочих местах в компании.

Политика безопасности компании требует разработки, внедрения и исполнения процедур безопасности. Должна быть разработана документация по управлению пользовательскими идентификаторами на рабочих станциях, по управлению списками контроля доступа на рабочих местах компании, по сбору и анализу системных журналов и журналов приложений, ведения отчетности по реагированию на инциденты и пр.

Пересмотр политики

Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.

Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство компании, сотрудники службы безопасности, отдела системного администрирования и юридического отдела.

Содержание информации

Далее описываются типы информации и как они могут быть использованы.

Содержание обрабатываемой в компании информации зависит от специфики ведения бизнеса компании. При этом, независимо от конкретного содержания информации, положения политики безопасности должны быть выполнены.

Классификация информации

Классификация информации – основа любой политики безопасности компании.

Служба безопасности отвечает за надлежащую классификацию информационных активов компании.

Вся обрабатываемая информация компании подразделяется на следующие виды:

• информация открытого доступа или публичная информация;

Информация, которая доступна как внутри компании, так и за ее пределами. Разглашение, использование или уничтожение такой информации не нанесет ущерба компании (пример: новости о компании, стоимость ее акций).

• экономически ценная информация или собственность компании;

Информация, не подлежащая разглашению за пределами компании, она защищается компанией по требованиям контрактов или законодательных актов. Если такая информация будет разглашена, то она потеряет свою экономическую ценность. Большая часть информации в компании должна попадать в эту категорию. Копирование и передача такой информации могут быть разрешены только определенному списку сотрудников внутри компании. Разглашение подобной информации за пределами компании должно осуществляться только с письменного разрешения лица, ответственного за надлежащее обращение с названной информацией (пример: политики компании, планы продаж, исходный код программы).

• конфиденциальная информация;

Информация, которая не должна быть разглашена независимо от ее экономической ценности. Разглашение, использование или уничтожение такой информации нанесет ущерб компании. Эта классификация применяется к информации, которая доступна только строго ограниченному списку сотрудников. Копирование такой информации и ее передача другому лицу разрешается только владельцем информации (пример: стратегические планы развития компании, ключи шифрования).

• конфиденциальная информация клиентов и партнеров компании;

Информация клиентов и партнеров, к которой имеет доступ только строго определенный список лиц. Разглашение, использование или уничтожение такой информации нанесет ущерб компании и ее отношениям с клиентами и партнерами. Информация этого типа может храниться в системах обработки информации компании, но при этом не иметь владельца (пример: банковские реквизиты клиента, ключи шифрования).

• публичная информация клиентов и партнеров компании.

Информация клиентов и партнеров, к которой имеют доступ как сотрудники компании, так и любые лица за пределами компании. Разглашение, использование или уничтожение такой информации не нанесет ущерба клиентам и партнерам или самой компании (пример: сообщения электронной почты, сертификат открытого ключа).

Определение собственника информации

Является необходимым шагом для корректной классификации информации компании.

Для корректной классификации информации необходимо определить ее владельца. Если владелец информации не может быть определен, то собственником и хранителем информации назначается служба безопасности компании.

Вся информация, не классифицированная ее владельцем, должна быть определена как конфиденциальная информация клиента или как собственность компании.

Служба безопасности компании отвечает за разработку, реализацию и поддержку процедуры по определению ценной информации компании и ее владельцев.

Соглашение о неразглашении конфиденциальной информации

Использование соглашения о неразглашении конфиденциальной информации компании необходимо для надлежащей защиты информационных активов компании. Использование названного соглашения зависит от действующего законодательства.

В случае необходимости передачи конфиденциальной информации компании за ее пределы, например при аудиторской проверке, должно быть подписано соответствующее соглашение о неразглашении конфиденциальной информации компании.

Декларация принципов безопасности

Декларация принципов безопасности позволяет концептуально определить основные цели и задачи организации режима информационной безопасности компании независимо от используемых информационных технологий и технологий защиты информации. Принципы безопасности зависят от целей и задач бизнеса конкретной компании.

Основные принципы безопасности компании могут быть описаны в терминах отчетности, авторизации и доступности.