Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Частью конфиденциальной информации компании является конфиденциальная информация сторонней компании, с которой заключены контракты и договоры. Защита такой информации описана в «Соглашении о неразглашении» и контрактах. Информация этого типа категоризируется от очень важной до информации о самом факте работы с данной компанией.
Сотрудники компании должны следовать здравому смыслу при защите конфиденциальной информации компании. Если сотрудник сомневается в степени важности обрабатываемой им информации, он должен обратиться к своему руководителю.Суть политики
Руководства, представленные ниже, описывают шаги по защите информации с различным уровнем важности. Сотрудники должны использовать эти руководства только как общие рекомендации, так как конфиденциальная информация может, в зависимости от обстоятельств, нуждаться в большем или меньшем уровне защиты, чем описано.
Минимальная важность – основная информация о компании, некоторая техническая информация и информация о персонале:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «Собственность ‹Название компании›». Даже когда маркировка не произведена, то информация предположительно является конфиденциальной, если только явно не определена как публичная сотрудником, имеющим на это право;
• доступ – сотрудники компании, работники по контракту с необходимостью доступа к информации для выполнения ими работы в соответствии со своими обязанностями;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям;
• хранение – защищать от просмотра сотрудниками, не имеющими на это прав, не оставлять на столах и досках для записей. Компьютеры, на которых хранится такая информация, должны удовлетворять требованиям политик безопасности компании. Доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Резервное копирование;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей);
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Более важная – деловая, финансовая, техническая информация и детальная информация о персонале:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «‹Название компании›. Только для внутреннего использования»;
• доступ – сотрудники компании, работники по контракту с подписанным «Соглашением о неразглашении» с необходимостью доступа к информации для выполнения ими своих обязанностей;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям и должна быть зашифрована или отправлена внутри зашифрованного канала передачи данных;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Очень важная – торговые секреты, маркетинговая, операционная, финансовая информация, исходные коды и техническая информация, от которой зависит успех деятельности компании:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – с целью определения важности информации для компании используется фраза «Внутренняя ‹Название компании› зарегистрирована и ограниченного доступа», «Только для просмотра сотрудниками ‹Название компании›», «‹Название компании› конфиденциально», размещенная на видном месте;
• доступ – только те сотрудники и лица, не являющиеся сотрудниками компании, кто определен в списке имеющих доступ к этой информации, с подписанным «Соглашением о неразглашении»;
• распространение внутри компании – подпись о получении, передача в конвертах с печатью «Конфиденциально» или через разрешенные для этой цели способы передачи информации по электронным каналам;
• распространение за пределы компании – в защищенных от просмотра конвертах через определенные почтовые службы с росписью в получении;
• распространение по электронным каналам – без ограничений, за исключением того, что настоятельно рекомендуется шифровать передаваемую информацию с использованием криптостойких алгоритмов и длинных ключей шифрования;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Должна быть обеспечена физическая безопасность помещений и компьютеров, в которых хранится информация;
Читать дальшеИнтервал:
Закладка:
