Политика информационной безопасности (IT Security Cookbook)
Материал из SecurityPolicy.ru
| Если вы не согласны с текстом перевода, вы можете внести правку (исходный текст документа размещен в комментариях). |
Содержание |
[править] 1. Концепция
Все основные информационные ресурсы должны иметь владельца.
- Владелец должен определить уровень секретности информации (из списка ниже) в зависимости от требований законодательства, затрат, корпоративной политики и бизнес-требований. Он является ответственным за сохранность этой информации.
- Владелец должен определить круг лиц, имеющих доступ к информации.
- Владелец является ответственным за эти данные и должен обеспечить их защиту в соответствие с определённым уровнем секретности.
[править] 2.Классификация информации
Предлагаемая система классификации делит информацию на четыре класса. Самый низкий, первый, наименее секретный, а наивысший, четвёртый, предназначен для самых важных данных и процессов. Каждый класс включает в себя требования предыдущего. Например, если система соответствует третьему классу, то она должна следовать требованиям первого, второго и третьего классов. Если в системе есть данные по более чем одному классу, то вся система классифицируется по наивысшему классу содержащейся информации.
[править] Класс 1: Публичная/несекретная информация
Описание: Данные в этих системах могут быть доступны широкому кругу лиц без ущерба для компании (т. е. данные не конфиденциальны). Целостность данных не является жизненно важной. Прекращение обслуживания из-за атаки - приемлемый риск. Примеры: тестовые сервисы без секретной информации, некоторые справочные службы.
Требования к хранению: отсутствуют.
Требования к передаче: отсутствуют.
Требования к уничтожению: отсутствуют.
[править] Класс 2. Внутренняя информация
Описание: Доступ извне к этим данным должен быть ограничен, но последствия в случае их разглашения некритичны (т. е. компания может оказаться в неловком положении). Доступ внутри компании регламентирован. Целостность данных важна, но не жизненно. Примеры таких данных можно встретить у разработчиков (отсутствие реальных данных), в некоторых общественных сервисах, клиентских данных, "обычных" рабочих документах, протоколах собраний и внутренних телефонных книгах.
Требования к хранению:
- 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
- 2. ИТ системы, восприимчивые к вирусным атакам, должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться.
Требования к передаче:
- 1. Для проектов с привлечением внешних партнёров нужно указать в проектной документации какая информация может быть передана за пределы компании.
- 2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована.
- 3. Внутренняя информация не должна передаваться за пределы компании за исключением ситуаций из пунктов 1 и 2.
Требования к уничтожению: отсутствуют.
[править] Класс 3. Конфиденциальная информация
Описание: Данные этого класса конфиденциальны внутри компании и защищены от доступа извне. В случае доступа к этим данным посторонних возникает риск воздействия на эффективность компании, привести к ощутимым финансовым потерям, дать преимущество конкурентам или раскрыть данные о клиентах. Целостность данных жизненно важна. Примеры: размер заработной платы, персональные данные, бухгалтерская информация, секретные данные о клиентах, проектах и контрактах. Центры обработки данных обычно поддерживают этот уровень безопасности.
Требования к хранению:
- 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
- 2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ.
- 3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).
Требования к передаче:
- 1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).
- 2. Эта информация должна находиться внутри компании. Если её передача будет осуществляться по открытым каналам (например, интернет), то информация должна быть зашифрована. Алгоритмы шифрования должны быть стойкими[1].
Требования к уничтожению:
- 1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).
[править] Класс 4: Секретная информация
Описание: Неавторизованный доступ к этим данным извне или изнутри является критичным для компании. Целостность данных жизненно важна. Число лиц, имеющих доступ к этим данным должно быть минимальным. Следует придерживаться очень строгих правил при использовании этих данных. Примеры: военная тайна, информация о планируемых крупных контрактах/реорганизации/финансовых операциях.
Требования к хранению:
- 1. Информация должна быть промаркирована, например, класс должен быть указан на документах, носителях (лентах, дискетах, компакт-дисках и т.д.), в электронных документах и файлах.
- 2. ИТ системы, восприимчивые к вирусным атакам должна регулярно сканироваться на предмет обнаружения вирусов. Целостность системы должна регулярно проверяться. Настройка ИТ систем не должна допускать неавторизованную модификацию данных и программ и должна ежегодно подвергаться аудиту.
- 3. Информация должна находиться в закрытых помещениях (например, документы в закрываемых шкафах, компьютеры в закрываемых комнатах).
- 4. Информация должна храниться в зашифрованном виде или на съёмных носителях, физический доступ к которым ограничен.
Требования к передаче:
- 1. Пароли не должны передаваться открытым текстом (ни в электронном, ни в печатном видах).
- 2. Эта информация должна шифроваться во время передачи за пределы защищённых зон. Алгоритмы шифрования должны быть стойкими[2].
Требования к уничтожению:
- 1. Информация, которая больше не используется, должна быть надёжно уничтожена (документы в шредере, дискеты физически уничтожены).
Соблюдение законодательства и корпоративной политики
Местные, национальные и международные правовые нормы (например, неприкосновенность данных, запрет на распространение порнографии) должны одинаково соблюдаться.
Интернет-порнография: интернет в настоящее время рассматривается как основной носитель незаконных материалов, от мягкой порнографии до педофилии и пропаганды нацизма.
- Если подобный материал проходит через шлюз компании, он должен быть блокирован.
- Персоналу не разрешается использовать компьютеры и другое оборудование компании для доступа к подобным материалам. Пользователи могут быть подвержены взысканию, если это распоряжение будет нарушено.
Законы о неприкосновенности личной жизни: персональные данные должны защищаться в соответствие с законами неприкосновенности личной жизни той страны где они хранятся или обрабатываются.
[править] Примечания
- ↑ Например, RCA 1024-bit, IDEA, 3DES и т. д., недопустимо использовать простые алгоритмы как XOR. Обратите внимание, что обычный DES не является достаточно стойким.
- ↑ Например, RCA 1024-bit, IDEA, 3DES и т. д., недопустимо использовать простые алгоритмы как XOR. Обратите внимание, что обычный DES не является достаточно стойким.
[править] См. также
- Политика информационной безопасности для персонала (IT Security Cookbook)
- Политика обеспечения физической защиты (IT Security Cookbook)
- Политика обеспечения компьютерной и сетевой безопасности (IT Security Cookbook)
- Политика обеспечения непрерывности ведения бизнеса (IT Security Cookbook)
