Сергей Петренко - Политики безопасности компании при работе в Интернет

• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Должна быть обеспечена физическая безопасность помещений и компьютеров, в которых хранится информация;

• уничтожение – строго предписывается, что информация уничтожается в специальных промаркированных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Маркировка – разграничение владельца или ответственного за информацию.

Соответствующие меры – меры, предназначенные для минимизации рисков, связанных с внешними подключениями. Компьютеры компании, используемые конкурентами или сотрудниками, не имеющими на это прав, должны быть ограничены в доступе к информации так, чтобы в случае попытки доступа к информации риск был минимально возможным.

Подключения компании к другим компаниям – соединения должны быть сконфигурированы таким образом, чтобы доступ был разрешен только к тем приложениям и информации, которые необходимы для совместной работы.

Разрешенные электронные способы передачи – разрешенные к использованию в компании FTP-клиенты и Web-браузеры.

Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий и разрешенные к использованию в компании.

Разрешенное шифрование почтовых сообщений и файлов – технологии включают DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении обращайтесь в отдел информационных технологий.

Информационные ресурсы компании – все компьютеры, их данные и программы, так же как информация на бумажных носителях.

Перезапись/удаление – использование специальных программ для перезаписи данных, например из состава Norton Utilities, так как обычное удаление данных средствами операционной системы не приводит к удалению, а только делает их невидимыми для пользователя.

Списки доступа на уровне пользователей – метод защиты информации на электронных носителях от доступа сотрудников, не имеющих на это прав.

Незащищенные интернет-каналы – все сети, которые не находятся под полным контролем компании.

Шифрование – шифрование конфиденциальной информации, осуществляемое в соответствии с политикой допустимого шифрования. Международные проблемы использования шифрования сложны и неоднозначны. Следуйте корпоративным стандартам по экспортному контролю криптографии и консультируйтесь с вашим руководителем и/или юридической службой по связанным с этой проблемой вопросам.

Физическая безопасность – постоянное присутствие рядом с компьютером или прикрепление компьютера к объекту, который не может быть перемещен. Один из методов выполнения такой задачи – наличие ключа для блокировки доступа к компьютеру. Чтобы защитить переносной компьютер, никогда не оставляйте его без присмотра, запирайте комнату, в которой он находится, или сдавайте его в сейф на хранение.

Защищенный канал – электронные коммуникации, над которыми компания имеет полный контроль. Например, все сети компании, соединенные через защищенный канал; компьютер, соединенный с другим посредством модема, а не с использованием мобильного телефона; ISDN-соединения с домашними компьютерами сотрудников.

Цель

Область действия Эта политика применяется ко всему программному обеспечению, с помощью которого осуществляется доступ к базам данных компании.