Сергей Петренко - Политики безопасности компании при работе в Интернет

Частью конфиденциальной информации компании является конфиденциальная информация сторонней компании, с которой заключены контракты и договоры. Защита такой информации описана в «Соглашении о неразглашении» и контрактах. Информация этого типа категоризируется от очень важной до информации о самом факте работы с данной компанией.

Сотрудники компании должны следовать здравому смыслу при защите конфиденциальной информации компании. Если сотрудник сомневается в степени важности обрабатываемой им информации, он должен обратиться к своему руководителю.

Суть политики

Руководства, представленные ниже, описывают шаги по защите информации с различным уровнем важности. Сотрудники должны использовать эти руководства только как общие рекомендации, так как конфиденциальная информация может, в зависимости от обстоятельств, нуждаться в большем или меньшем уровне защиты, чем описано.

Минимальная важность – основная информация о компании, некоторая техническая информация и информация о персонале:

•  руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «Собственность ‹Название компании›». Даже когда маркировка не произведена, то информация предположительно является конфиденциальной, если только явно не определена как публичная сотрудником, имеющим на это право;

•  доступ – сотрудники компании, работники по контракту с необходимостью доступа к информации для выполнения ими работы в соответствии со своими обязанностями;

•  распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;

•  распространение за пределы компании – почтовые службы, разрешенные к использованию методы передачи информации по электронным каналам;

•  распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям;

•  хранение – защищать от просмотра сотрудниками, не имеющими на это прав, не оставлять на столах и досках для записей. Компьютеры, на которых хранится такая информация, должны удовлетворять требованиям политик безопасности компании. Доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Резервное копирование;

•  уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей);

•  ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.

Более важная – деловая, финансовая, техническая информация и детальная информация о персонале:

•  руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «‹Название компании›. Только для внутреннего использования»;

•  доступ – сотрудники компании, работники по контракту с подписанным «Соглашением о неразглашении» с необходимостью доступа к информации для выполнения ими своих обязанностей;

•  распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;

• распространение за пределы компании – почтовые службы;

•  распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям и должна быть зашифрована или отправлена внутри зашифрованного канала передачи данных;

•  хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам;

•  уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;

•  ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.

Очень важная – торговые секреты, маркетинговая, операционная, финансовая информация, исходные коды и техническая информация, от которой зависит успех деятельности компании:

•  руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – с целью определения важности информации для компании используется фраза «Внутренняя ‹Название компании› зарегистрирована и ограниченного доступа», «Только для просмотра сотрудниками ‹Название компании›», «‹Название компании› конфиденциально», размещенная на видном месте;

•  доступ – только те сотрудники и лица, не являющиеся сотрудниками компании, кто определен в списке имеющих доступ к этой информации, с подписанным «Соглашением о неразглашении»;

•  распространение внутри компании – подпись о получении, передача в конвертах с печатью «Конфиденциально» или через разрешенные для этой цели способы передачи информации по электронным каналам;

•  распространение за пределы компании – в защищенных от просмотра конвертах через определенные почтовые службы с росписью в получении;

•  распространение по электронным каналам – без ограничений, за исключением того, что настоятельно рекомендуется шифровать передаваемую информацию с использованием криптостойких алгоритмов и длинных ключей шифрования;

•  хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Должна быть обеспечена физическая безопасность помещений и компьютеров, в которых хранится информация;

•  уничтожение – строго предписывается, что информация уничтожается в специальных промаркированных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;

•  ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Маркировка – разграничение владельца или ответственного за информацию.

Соответствующие меры – меры, предназначенные для минимизации рисков, связанных с внешними подключениями. Компьютеры компании, используемые конкурентами или сотрудниками, не имеющими на это прав, должны быть ограничены в доступе к информации так, чтобы в случае попытки доступа к информации риск был минимально возможным.

Подключения компании к другим компаниям – соединения должны быть сконфигурированы таким образом, чтобы доступ был разрешен только к тем приложениям и информации, которые необходимы для совместной работы.

Разрешенные электронные способы передачи – разрешенные к использованию в компании FTP-клиенты и Web-браузеры.

Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий и разрешенные к использованию в компании.

Разрешенное шифрование почтовых сообщений и файлов – технологии включают DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении обращайтесь в отдел информационных технологий.