Политики безопасности компании при работе в Интернет
Шрифт:
Суть политики
Определенному перечню сотрудников компании и сотрудников сторонних организаций разрешено пользоваться услугами виртуальной частной сети, которая является сервисом, «управляемым пользователем». Это означает, что сотрудник ответственен за выбор интернет-провайдера, проведение инсталляции необходимого программного обеспечения и оплату связанных с этим расходов. Дальнейшие детали могут быть уточнены в политике удаленного доступа.
Дополнительно следует иметь в виду:
• сотрудник, имеющий доступ в корпоративную сеть через виртуальную частную сеть, несет ответственность за недопущение доступа посторонних лиц во внутреннюю сеть компании;
• аутентификация в виртуальной частной сети происходит с использованием или однократных (one-time) паролей, или архитектуры открытых ключей с устойчивыми к взлому ключевыми фразами;
• после установления виртуальной частной сети весь трафик будет идти только через туннель, весь другой трафик будет блокироваться;
• двойные туннели запрещены, разрешено только одно сетевое соединение;
• точки терминирования трафика виртуальных частных сетей будут устанавливаться и обслуживаться группой сетевых операций;
• на всех компьютерах, получающих доступ к внутренней корпоративной сети, должно быть установлено принятое в качестве обязательного в компании антивирусное программное обеспечение с самыми последними обновлениями антивирусных баз;
• соединение через виртуальную частную сеть будет прервано в случае 30-минутного бездействия
• общее время непрерывного соединения ограничено 24 часами;
• владельцы компьютеров, не являющиеся сотрудниками компании, должны сконфигурировать свои компьютеры в соответствии с политиками информационной безопасности компании;
• в качестве программных и аппаратных клиентов для организации виртуальной частной сети могут выступать только утвержденные отделом информационной безопасности средства;
• при использовании технологии виртуальных частных сетей компьютеры становятся частью корпоративной сети и должны быть сконфигурированы в соответствии с политиками информационной безопасности компании.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
IPSec-концентратор – устройство, на котором терминируется трафик виртуальной частной сети.
11. Политика беспроводного доступа в сеть компанииЦель
Эта политика запрещает доступ к корпоративной сети компании через незащищенные беспроводные подключения. Доступ с использованием беспроводных устройств в сеть компании разрешен только с устройств, соответствующих требованиям этой политики или имеющих разрешение отдела информационной безопасности.Область действия Эта политика относится ко всем устройствам с возможностью беспроводного доступа во внутреннюю сеть компании (персональным компьютерам, мобильным телефонам, персональным органайзерам и др.). Беспроводные устройства, не имеющие входа во внутреннюю сеть компании, не подпадают под действие этой политики.
Суть политики
Регистрация точек доступа и беспроводных карт. Все беспроводные точки доступа во внутреннюю сеть компании необходимо зарегистрировать в отделе информационной безопасности и получить разрешение.
Эти точки доступа должны периодически проверяться отделом информационной безопасности на защищенность. Все беспроводные сетевые адаптеры, используемые в переносных и персональных компьютерах, должны быть зарегистрированы в отделе информационной безопасности.
Разрешенная технология. Весь беспроводной доступ во внутреннюю сеть компании настраивается в соответствии с рекомендациями по защите производителя оборудования и лучшими практиками в этой области.
Использование шифрования и аутентификации. Все компьютеры с устройствами для беспроводного доступа должны использовать для подключения виртуальную частную сеть, сконфигурированную для блокирования незашифрованного и неаутентифицированного трафика. Для соответствия этой политике устройства должны поддерживать аппаратное шифрование «точка-точка» с длиной ключа как минимум 56 бит. Кроме того, все устройства должны иметь уникальный аппаратный адрес, который может быть зарегистрирован и журналирован, например МАС-адрес. Все соединения должны быть аутентифицированы на уровне пользователя с проверкой во внешней базе данных, например TACACS+ или RADIUS.
Установка SSID. SSID должен быть сконфигурирован таким образом, чтобы он не содержал какой-либо информации о компании, например названия компании, отдела, имени сотрудника или идентификатора продукта.Ответственность
Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
12. Политика автоматического перенаправления электронной почты компанииЦель
Недопущение преднамеренного или случайного разглашения конфиденциальной информации компании.Область действия Эти политика описывает автоматическое перенаправление электронной почты компании и потенциально возможную непреднамеренную передачу конфиденциальной информации сотрудниками компании, вендорами и агентами, действующими от имени компании за ее пределами.
Суть политики Сотрудники должны действовать очень внимательно при отправке любых почтовых сообщений за пределы компании. Почтовые сообщения не должны автоматически перенаправляться за пределы компании, если только не получено разрешение от отдела информационной безопасности. Конфиденциальная информация (подробнее см. в описании политики классификации информации), не должна перенаправляться, кроме случаев, когда это является критически важным для бизнеса, при передаче информация должна быть зашифрована в соответствии с политикой допустимого шифрования.
Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Электронное почтовое сообщение (почтовое сообщение) – передача информации с помощью почтового протокола типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.
Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.
Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.13. Политика классификации информации
Цель
Помочь сотрудникам в определении информации, которая может быть разглашена ими людям, не являющимся сотрудниками компании, и информации, которая не может быть разглашена ими за пределами компании без получения соответствующего разрешения.
Информация, описываемая в этой политике, – любая информация, хранимая или передаваемая внутри компании на бумажных, электронных и других носителях, получаемая или передаваемая посредством голоса или визуально (телефон, видеоконференция).
Все сотрудники должны ознакомиться с правилами хранения и маркирования информации, описанными в этой политике. Уровни важности информации, приведенные ниже, являются руководством и акцентируют внимание на требуемых шагах по защите конфиденциальной информации (например: конфиденциальная информация не должна оставаться без присмотра в комнатах для конференций).Область действия
Вся информация в компании делится на:
• публичную,
• конфиденциальную.Публичная информация – информация, которая может быть объявлена публично сотрудником, уполномоченным на это, и разглашение этой информации не нанесет ущерба компании.
Конфиденциальная информация – вся остальная информация. Необходимо понимать, что информация бывает более важной и менее важной, более важная должна быть
и защищена более тщательно. К информации, которую нужно защищать очень тщательно, относятся торговые секреты, списки возможных приобретений и другая информация, от которой зависит успех компании. К конфиденциальной информации, которую тоже нужно защищать, хотя и менее тщательно, относятся списки телефонов компании, общая информация о структуре компании, списки сотрудников и т. д.Частью конфиденциальной информации компании является конфиденциальная информация сторонней компании, с которой заключены контракты и договоры. Защита такой информации описана в «Соглашении о неразглашении» и контрактах. Информация этого типа категоризируется от очень важной до информации о самом факте работы с данной компанией.
Сотрудники компании должны следовать здравому смыслу при защите конфиденциальной информации компании. Если сотрудник сомневается в степени важности обрабатываемой им информации, он должен обратиться к своему руководителю.Суть политики
Руководства, представленные ниже, описывают шаги по защите информации с различным уровнем важности. Сотрудники должны использовать эти руководства только как общие рекомендации, так как конфиденциальная информация может, в зависимости от обстоятельств, нуждаться в большем или меньшем уровне защиты, чем описано.
Минимальная важность – основная информация о компании, некоторая техническая информация и информация о персонале:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «Собственность ‹Название компании›». Даже когда маркировка не произведена, то информация предположительно является конфиденциальной, если только явно не определена как публичная сотрудником, имеющим на это право;
• доступ – сотрудники компании, работники по контракту с необходимостью доступа к информации для выполнения ими работы в соответствии со своими обязанностями;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям;
• хранение – защищать от просмотра сотрудниками, не имеющими на это прав, не оставлять на столах и досках для записей. Компьютеры, на которых хранится такая информация, должны удовлетворять требованиям политик безопасности компании. Доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Резервное копирование;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей);
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Более важная – деловая, финансовая, техническая информация и детальная информация о персонале:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «‹Название компании›. Только для внутреннего использования»;
• доступ – сотрудники компании, работники по контракту с подписанным «Соглашением о неразглашении» с необходимостью доступа к информации для выполнения ими своих обязанностей;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям и должна быть зашифрована или отправлена внутри зашифрованного канала передачи данных;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Очень важная – торговые секреты, маркетинговая, операционная, финансовая информация, исходные коды и техническая информация, от которой зависит успех деятельности компании:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – с целью определения важности информации для компании используется фраза «Внутренняя ‹Название компании› зарегистрирована и ограниченного доступа», «Только для просмотра сотрудниками ‹Название компании›», «‹Название компании› конфиденциально», размещенная на видном месте;
• доступ – только те сотрудники и лица, не являющиеся сотрудниками компании, кто определен в списке имеющих доступ к этой информации, с подписанным «Соглашением о неразглашении»;
• распространение внутри компании – подпись о получении, передача в конвертах с печатью «Конфиденциально» или через разрешенные для этой цели способы передачи информации по электронным каналам;
• распространение за пределы компании – в защищенных от просмотра конвертах через определенные почтовые службы с росписью в получении;
• распространение по электронным каналам – без ограничений, за исключением того, что настоятельно рекомендуется шифровать передаваемую информацию с использованием криптостойких алгоритмов и длинных ключей шифрования;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Должна быть обеспечена физическая безопасность помещений и компьютеров, в которых хранится информация;
• уничтожение – строго предписывается, что информация уничтожается в специальных промаркированных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.