Цель — определить, какая информация может предоставляться не- сотрудникам Организации, а какая не должна попадать за пределы Организации без соответствующего на это разрешения. Информация, подпадающая под действие данной политики, включает (но не ограничивается) информацию, хранимую или совместно используемую с применением различных средств. Это — информация в электронном виде, бумажная информация и информация, совместно используемая устно или визуально (например, через телефон или видеоконференц-связь) на стадиях обработки, передачи и хранения, защищаемая от модификации или раскрытия.
Все сотрудники должны быть ознакомлены с перечнем информации, регламентируемым данной политикой. Степень конфиденциальности информации определяется согласно нижеприведенному руководству, также содержащему основные шаги по ее защите. Отнесение специфической информации к определенному классу дается администратором ИБ подразделения или Организации. Все вопросы, относящиеся к данному руководству, решает департамент ИБ Организации. Сотрудники должны руководствоваться чувством здравого смысла при защите конфиденциальной информации Организации.
Влияние этого руководство на осуществление ежедневных обязанностей служащих должно быть минимальным.
Область действия
Вся информация Организации подразделяется на открытую и конфиденциальную.
Открытая информация — это информация, доступ к которой посторонних не связан ни с какими потерями.
Конфиденциальная информация — это информация, доступ к которой для части сотрудников или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.
Далее приводятся примеры — общая корпоративная информация, промышленные секреты, программы развития, персональные данные служащих, телефонные справочники, информация о третьих лицах и т. п. Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения.
Основные положения
Данное руководство детально описывает, как защитить различную конфиденциальную информацию. Руководство будет различным для разных организаций, так как отнесение одной и той же информации к тому или иному классу (например, минимальной, средней и максимальной конфиденциальности) зависит от многих обстоятельств от бизнеса Организации, условий осуществления бизнеса, ее размера и многого другого.
Обычно информацией минимальной конфиденциальности является общая корпоративная информации, некоторая техническая информация и некоторые данные о персонале. Доступ — сотрудники Организации, контрактные работники, те, кто должен знать эту информацию в соответствии с потребностями бизнеса. Метод распространения в Организации- стандартная внутренняя внутриофисная переписка, одобренная электронная почта и методы передачи электронных файлов. Методы распространения за пределами Организации — официальные почтовые службы страны или других стран, одобренная электронная почта и методы передачи электронных файлов. Распространение в электронном виде — ограничений нет при условии посылки разрешенным получателям. Хранение — беречь от неуполномоченных людей, защищать от потери, контролировать доступ. Уничтожение — по разработанной процедуре уничтожения бумажных и электронных носителей информации с невозможностью восстановления. Наказания — согласно административному, гражданскому или уголовному праву.
Информация средней конфиденциальности — это финансовая и техническая информация, информация о бизнесе и большая часть персональных данных. Доступ — сотрудники Организации и несотрудники, подписавшие соглашение о неразглашении информации, которым она требуется для бизнеса. Метод распространения в Организации — стандартная внутренняя внутриофисная переписка, одобренная электронная почта и методы передачи электронных файлов. Методы распространения за пределами Организации — официальные курьерские и почтовые службы страны или других стран. Распространение в электронном виде — ограничений нет при условии посылки разрешенным получателям внутри Организации, вне Организации — обязательно в зашифрованном виде. Хранение — с индивидуальным контролем доступа. Уничтожение — по разработанной процедуре уничтожения бумажных и электронных носителей информации с невозможностью восстановления. Наказания — согласно административному, гражданскому или уголовному праву.
Информация максимальной конфиденциальности — это промышленные секреты, маркетинговая, финансовая и техническая информация, информация о функционировании, исходные коды и часть персональных данных. Доступ — только сотрудники Организации, имеющие разрешенный доступ и подписавшие соглашение о неразглашении информации. Метод распространения в Организации — непосредственная доставка в руки, доставка в конверте со штампом конфиденциальности, одобренные методы передачи электронных файлов. Методы распространения за пределами Организации — разрешенная курьерская служба с подписью о вручении. Распространение в электронном виде — ограничений нет при условии посылки разрешенным получателям внутри Организации, вне Организации — обязательно в зашифрованном виде. Хранение — с индивидуальным контролем доступа, с обеспечением физической защиты (включая хранение на компьютере). Уничтожение — по разработанной процедуре уничтожения бумажных и электронных носителей информации с невозможностью восстановления. Наказания — согласно административному, гражданскому или уголовному праву. Данная политика также должна определять:
- кто может иметь доступ к конфиденциальной информации вообще и при особых обстоятельствах;
- в каких системах может храниться и обрабатываться конфиденциальная информация;
- информация какой степени секретности может быть распечатана на физически незащищенных принтерах;
- как конфиденциальная информация удаляется из систем и запоминающих устройств (например, размагничиванием носителей данных, чисткой жестких дисков, резкой бумажных копий);
- любые установки по умолчанию для файлов и каталогов, определяемые в системных файлах конфигурации и т. п.
- Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
- Определение. Одобренные методы передачи электронных файлов — на основе FTP-клиентов и веб-браузеров.