• доступ – сотрудники компании, работники по контракту с необходимостью доступа к информации для выполнения ими работы в соответствии со своими обязанностями;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям;
• хранение – защищать от просмотра сотрудниками, не имеющими на это прав, не оставлять на столах и досках для записей. Компьютеры, на которых хранится такая информация, должны удовлетворять требованиям политик безопасности компании. Доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Резервное копирование;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей);
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Более важная – деловая, финансовая, техническая информация и детальная информация о персонале:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – если маркировка желательна, то фраза «‹Название компании› конфиденциально» должна быть размещена на видном месте. Могут быть использованы другие фразы для маркировки, например: «‹Название компании›. Только для внутреннего использования»;
• доступ – сотрудники компании, работники по контракту с подписанным «Соглашением о неразглашении» с необходимостью доступа к информации для выполнения ими своих обязанностей;
• распространение внутри компании – стандартные электронные письма, разрешенные к использованию методы передачи информации по электронным каналам;
• распространение за пределы компании – почтовые службы;
• распространение по электронным каналам – без ограничений, за исключением того, что информация должна быть отправлена только к разрешенным получателям и должна быть зашифрована или отправлена внутри зашифрованного канала передачи данных;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам;
• уничтожение – информация уничтожается в специальных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Очень важная – торговые секреты, маркетинговая, операционная, финансовая информация, исходные коды и техническая информация, от которой зависит успех деятельности компании:
• руководство по маркировке для информации в электронном виде или в виде бумажных копий (любые из этих маркировок могут быть использованы с дополнительными аннотациями в «Соглашении о конфиденциальности со сторонними организациями») – с целью определения важности информации для компании используется фраза «Внутренняя ‹Название компании› зарегистрирована и ограниченного доступа», «Только для просмотра сотрудниками ‹Название компании›», «‹Название компании› конфиденциально», размещенная на видном месте;
• доступ – только те сотрудники и лица, не являющиеся сотрудниками компании, кто определен в списке имеющих доступ к этой информации, с подписанным «Соглашением о неразглашении»;
• распространение внутри компании – подпись о получении, передача в конвертах с печатью «Конфиденциально» или через разрешенные для этой цели способы передачи информации по электронным каналам;
• распространение за пределы компании – в защищенных от просмотра конвертах через определенные почтовые службы с росписью в получении;
• распространение по электронным каналам – без ограничений, за исключением того, что настоятельно рекомендуется шифровать передаваемую информацию с использованием криптостойких алгоритмов и длинных ключей шифрования;
• хранение – доступ к информации должен контролироваться на уровне списков доступа по пользователям, не по группам. Должна быть обеспечена физическая безопасность помещений и компьютеров, в которых хранится информация;
• уничтожение – строго предписывается, что информация уничтожается в специальных промаркированных устройствах (для бумажных носителей) или перезаписыванием/размагничиванием (для электронных носителей). Должно производиться надежное уничтожение и физическое разрушение носителей;
• ответственность за преднамеренное или непреднамеренное разглашение – сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным, вплоть до увольнения, или уголовным мерам наказания.Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Маркировка – разграничение владельца или ответственного за информацию.
Соответствующие меры – меры, предназначенные для минимизации рисков, связанных с внешними подключениями. Компьютеры компании, используемые конкурентами или сотрудниками, не имеющими на это прав, должны быть ограничены в доступе к информации так, чтобы в случае попытки доступа к информации риск был минимально возможным.
Подключения компании к другим компаниям – соединения должны быть сконфигурированы таким образом, чтобы доступ был разрешен только к тем приложениям и информации, которые необходимы для совместной работы.
Разрешенные электронные способы передачи – разрешенные к использованию в компании FTP-клиенты и Web-браузеры.
Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий и разрешенные к использованию в компании.
Разрешенное шифрование почтовых сообщений и файлов – технологии включают DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении обращайтесь в отдел информационных технологий.
Информационные ресурсы компании – все компьютеры, их данные и программы, так же как информация на бумажных носителях.
Перезапись/удаление – использование специальных программ для перезаписи данных, например из состава Norton Utilities, так как обычное удаление данных средствами операционной системы не приводит к удалению, а только делает их невидимыми для пользователя.
Списки доступа на уровне пользователей – метод защиты информации на электронных носителях от доступа сотрудников, не имеющих на это прав.
Незащищенные интернет-каналы – все сети, которые не находятся под полным контролем компании.
Шифрование – шифрование конфиденциальной информации, осуществляемое в соответствии с политикой допустимого шифрования. Международные проблемы использования шифрования сложны и неоднозначны. Следуйте корпоративным стандартам по экспортному контролю криптографии и консультируйтесь с вашим руководителем и/или юридической службой по связанным с этой проблемой вопросам.
Физическая безопасность – постоянное присутствие рядом с компьютером или прикрепление компьютера к объекту, который не может быть перемещен. Один из методов выполнения такой задачи – наличие ключа для блокировки доступа к компьютеру. Чтобы защитить переносной компьютер, никогда не оставляйте его без присмотра, запирайте комнату, в которой он находится, или сдавайте его в сейф на хранение.
Защищенный канал – электронные коммуникации, над которыми компания имеет полный контроль. Например, все сети компании, соединенные через защищенный канал; компьютер, соединенный с другим посредством модема, а не с использованием мобильного телефона; ISDN-соединения с домашними компьютерами сотрудников.
14. Политика в отношении паролей для доступа к базам данныхЦель
Политика определяет требования по обеспечению безопасности хранения и обработки учетных записей в базах данных и паролей к ним при использовании программного обеспечения, посредством которого сотрудники получают доступ к информации, хранимой в базах данных компании. При неправильных хранении и использовании атрибутов доступа к базам данных они могут быть скомпрометированы.Область действия Эта политика применяется ко всему программному обеспечению, с помощью которого осуществляется доступ к базам данных компании.
Суть политики
Общие положения. Для поддержания необходимого уровня безопасности доступ посредством программного обеспечения к базе данных должен разрешаться только после соответствующей аутентификации. Атрибуты, используемые для аутентификации, нельзя размещать в коде программы в незашифрованном виде. Атрибуты доступа к базе данных не должны быть доступны через Web-cepeep.
Специфические требования:
хранение учетных записей и паролей:
– учетные записи и пароли для доступа к базе данных должны храниться в файле отдельно от кода программы. Доступ к этому файлу должен быть строго ограничен;
– учетные записи и пароли для доступа к базе данных могут храниться на сервере баз данных. В этом случае хеш от пароля может хра