Политики безопасности компании при работе в Интернет
Шрифт:
Этот пункт содержит детальное описание основных положений политики информационной безопасности компании.
Цели
Цели описывают административные задачи политики безопасности и почему она необходима.
Цели создания этой политики:
• разработать и довести до сотрудников компании требования по защите
• гарантировать безопасность, целостность и доступность конфиденциальных данных компании;
• установить базовый уровень защиты информации в компании.
Состав и структура информационной системы
Содержится описание состава и структуры информационной системы компании.
Обязанности по защите информации
Определение обязанностей компании по защите информации является важной задачей.
К названным обязанностям относятся следующие:
• все организационные бизнес-единицы и структуры компании должны гарантировать, что их сотрудники действуют в соответствии с настоящей политикой безопасности;
• отделы сетевых операций и системного администрирования должны гарантировать, что ведутся и надежно хранятся журналы и аудиторские записи о предоставлении доступа к конфиденциальной информации компании;
• отделы безопасности информации, сетевых операций и системного администрирования должны гарантировать выполнение всех необходимых механизмов обеспечения безопасности;
• отдел управления рисками отвечает за корректную классификацию информации для выполнения требований безопасности;
• отдел внутреннего аудита отвечает за регулярные проверки правильности классификации информации и защищенности компонент информационной системы компании.
Другие обязанности
Важно, чтобы политика безопасности детализировала обязанности отдельных отделов и/пли групп сотрудников.
К другим обязанностям относятся следующие:
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые участвуют в процессе обработки конфиденциальной информации компании, должны руководствоваться четко документированной политикой безопасности для сторонних организаций;
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые имеют доступ к конфиденциальной информации компании, должны подписать соглашение об обязательном исполнении настоящей политики безопасности.
Документирование
Документирование гарантирует, что политика безопасности принята к действию и соблюдается на рабочих местах в компании.
Политика безопасности компании требует разработки, внедрения и исполнения процедур безопасности. Должна быть разработана документация по управлению пользовательскими идентификаторами на рабочих станциях, по управлению списками контроля доступа на рабочих местах компании, по сбору и анализу системных журналов и журналов приложений, ведения отчетности по реагированию на инциденты и пр.
Пересмотр политики
Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.
Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство компании, сотрудники службы безопасности, отдела системного администрирования и юридического отдела.
Содержание информации
Далее описываются типы информации и как они могут быть использованы.
Содержание обрабатываемой в компании информации зависит от специфики ведения бизнеса компании. При этом, независимо от конкретного содержания информации, положения политики безопасности должны быть выполнены.
Классификация информации
Классификация информации – основа любой политики безопасности компании.
Служба безопасности отвечает за надлежащую классификацию информационных активов компании.
Вся обрабатываемая информация компании подразделяется на следующие виды:
• информация открытого доступа или публичная информация;
Информация, которая доступна как внутри компании, так и за ее пределами. Разглашение, использование или уничтожение такой информации не нанесет ущерба компании (пример: новости о компании, стоимость ее акций).
• экономически ценная информация или собственность компании;
Информация, не подлежащая разглашению за пределами компании, она защищается компанией по требованиям контрактов или законодательных актов. Если такая информация будет разглашена, то она потеряет свою экономическую ценность. Большая часть информации в компании должна попадать в эту категорию. Копирование и передача такой информации могут быть разрешены только определенному списку сотрудников внутри компании. Разглашение подобной информации за пределами компании должно осуществляться только с письменного разрешения лица, ответственного за надлежащее обращение с названной информацией (пример: политики компании, планы продаж, исходный код программы).