Петренко Сергей Александрович
Шрифт:
Пересмотр политики
Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.
Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство компании, сотрудники службы безопасности, отдела системного администрирования и юридического отдела.
Содержание информации
Далее описываются типы информации и как они могут быть использованы.
Содержание обрабатываемой в компании информации зависит от специфики ведения бизнеса компании. При этом, независимо от конкретного содержания информации, положения политики безопасности должны быть выполнены.
Классификация информации
Классификация информации – основа любой политики безопасности компании.
Служба безопасности отвечает за надлежащую классификацию информационных активов компании.
Вся обрабатываемая информация компании подразделяется на следующие виды:
• информация открытого доступа или публичная информация;
Информация, которая доступна как внутри компании, так и за ее пределами. Разглашение, использование или уничтожение такой информации не нанесет ущерба компании (пример: новости о компании, стоимость ее акций).
• экономически ценная информация или собственность компании;
Информация, не подлежащая разглашению за пределами компании, она защищается компанией по требованиям контрактов или законодательных актов. Если такая информация будет разглашена, то она потеряет свою экономическую ценность. Большая часть информации в компании должна попадать в эту категорию. Копирование и передача такой информации могут быть разрешены только определенному списку сотрудников внутри компании. Разглашение подобной информации за пределами компании должно осуществляться только с письменного разрешения лица, ответственного за надлежащее обращение с названной информацией (пример: политики компании, планы продаж, исходный код программы).
• конфиденциальная информация;
Информация, которая не должна быть разглашена независимо от ее экономической ценности. Разглашение, использование или уничтожение такой информации нанесет ущерб компании. Эта классификация применяется к информации, которая доступна только строго ограниченному списку сотрудников. Копирование такой информации и ее передача другому лицу разрешается только владельцем информации (пример: стратегические планы развития компании, ключи шифрования).
• конфиденциальная информация клиентов и партнеров компании;
Информация клиентов и партнеров, к которой имеет доступ только строго определенный список лиц. Разглашение, использование или уничтожение такой информации нанесет ущерб компании и ее отношениям с клиентами и партнерами. Информация этого типа может храниться в системах обработки информации компании, но при этом не иметь владельца (пример: банковские реквизиты клиента, ключи шифрования).
• публичная информация клиентов и партнеров компании.
Информация клиентов и партнеров, к которой имеют доступ как сотрудники компании, так и любые лица за пределами компании. Разглашение, использование или уничтожение такой информации не нанесет ущерба клиентам и партнерам или самой компании (пример: сообщения электронной почты, сертификат открытого ключа).
Определение собственника информации
Является необходимым шагом для корректной классификации информации компании.
Для корректной классификации информации необходимо определить ее владельца. Если владелец информации не может быть определен, то собственником и хранителем информации назначается служба безопасности компании.
Вся информация, не классифицированная ее владельцем, должна быть определена как конфиденциальная информация клиента или как собственность компании.
Служба безопасности компании отвечает за разработку, реализацию и поддержку процедуры по определению ценной информации компании и ее владельцев.