Выбрать главу

•  конфиденциальная информация;

Информация, которая не должна быть разглашена независимо от ее экономической ценности. Разглашение, использование или уничтожение такой информации нанесет ущерб компании. Эта классификация применяется к информации, которая доступна только строго ограниченному списку сотрудников. Копирование такой информации и ее передача другому лицу разрешается только владельцем информации (пример: стратегические планы развития компании, ключи шифрования).

•  конфиденциальная информация клиентов и партнеров компании;

Информация клиентов и партнеров, к которой имеет доступ только строго определенный список лиц. Разглашение, использование или уничтожение такой информации нанесет ущерб компании и ее отношениям с клиентами и партнерами. Информация этого типа может храниться в системах обработки информации компании, но при этом не иметь владельца (пример: банковские реквизиты клиента, ключи шифрования).

•  публичная информация клиентов и партнеров компании.

Информация клиентов и партнеров, к которой имеют доступ как сотрудники компании, так и любые лица за пределами компании. Разглашение, использование или уничтожение такой информации не нанесет ущерба клиентам и партнерам или самой компании (пример: сообщения электронной почты, сертификат открытого ключа).

Определение собственника информации

...

Является необходимым шагом для корректной классификации информации компании.

Для корректной классификации информации необходимо определить ее владельца. Если владелец информации не может быть определен, то собственником и хранителем информации назначается служба безопасности компании.

Вся информация, не классифицированная ее владельцем, должна быть определена как конфиденциальная информация клиента или как собственность компании.

Служба безопасности компании отвечает за разработку, реализацию и поддержку процедуры по определению ценной информации компании и ее владельцев.

Соглашение о неразглашении конфиденциальной информации

...

Использование соглашения о неразглашении конфиденциальной информации компании необходимо для надлежащей защиты информационных активов компании. Использование названного соглашения зависит от действующего законодательства.

В случае необходимости передачи конфиденциальной информации компании за ее пределы, например при аудиторской проверке, должно быть подписано соответствующее соглашение о неразглашении конфиденциальной информации компании.

Декларация принципов безопасности

...

Декларация принципов безопасности позволяет концептуально определить основные цели и задачи организации режима информационной безопасности компании независимо от используемых информационных технологий и технологий защиты информации. Принципы безопасности зависят от целей и задач бизнеса конкретной компании.

Основные принципы безопасности компании могут быть описаны в терминах отчетности, авторизации и доступности.

2.3. Подход компании Cisco Systems

С точки зрения специалистов Cisco, отсутствие сетевой политики безопасности может привести к серьезным инцидентам в области безопасности. Разработку политики безопасности компании рекомендуется начинать с оценки рисков сети и создания рабочей группы по реагированию на инциденты.

2.3.1. Описание политики безопасности

Создание политик использования. Компания Cisco рекомендует создать политики использования, которые описывают роли и обязанности сотрудников компании для надлежащей защиты конфиденциальной информации. При этом можно начать с разработки главной политики безопасности, в которой четко прописать общие цели и задачи организации режима информационной безопасности компании.

Следующий шаг – создание политики допустимого использования для партнеров, чтобы проинформировать партнеров компании о том, какая информация им доступна. Следует четко описать любые действия, которые будут восприниматься как враждебные, а также возможные способы реагирования при обнаружении таких действий.

В заключение необходимо создать политику допустимого использования для администраторов, чтобы описать процедуры администрирования учетных записей сотрудников и проверки привилегий. При этом если компания имеет определенную политику относительно использования паролей или категорирования информации, то нужно ее здесь упомянуть. Далее необходимо проверить названные политики на непротиворечивость и полноту, а также убедиться в том, что сформулированные требования к администраторам нашли свое отображение в планах по обучению.

полную версию книги