Политика раскрытия информации подразумевает выдачу ее различным сторонам, с учетом степени полезности этой информации для них, и их личности (положения в компании).
2.1. Процедура проверки служащих
Политика: компания должна разработать всеобъемлющие процедуры для проверки личности, статуса занятости, и разрешения на по лучение информации каждого, кто захочет получить доступ к Конфиденциальной информции или информации для служебного пользования, или выполнить задание, подразумевающее использование любого компьютерного оборудования/ПО.
Пояснения/заметки: там, где это оправдано размерами компании и требованиями к безопасности, следует использовать продвинутые технологии для подтверждения личности. Лучшим практическим решением было бы введе
ние различных элементов контроля доступа в комбинации с общим ключом (shared secret) для надежной идентификации человека, запрашивающего информацию. Однако не смотря на то, что такая технология может резко уменьшить риск, ее стоимость может оказаться слишком высокой для некоторых предприятий. В такой ситуации компании следует использовать периодический общий ключ, такой как ежедневный пароль или код.
2.2. Раскрытие информации третьим лицам
Политика: набор рекомендуемых процедур раскрытия информации третьим лицам должен быть доступен для всех сотрудников, которые должны быть обучены их проведению.
Пояснения/заметки: в основном, подобные процедуры распространения должны использоваться для:
● информации, распространяемой внутрикомпании (группы компаний);
● информации среди сотрудников организаций, имеющих установившиеся взаимоотношения с компанией, таких как консультанты, временные работники, студенты стажеры, работники организаций – стратегических партнеров и т. д.;
● информации, распространяемой за пределы компании.
Это информация любого уровня классификации, доставляемая лично, сообщаемая по телефону, электронной почте, факсу, голосовой почте и почтой.
2.3. Распространение Конфиденциальной информации
Политика: конфиденциальная информация, т. е. информация, способная нанести существенный ущерб, если она получена несанкционированным лицом, может быть доставлена только Доверенному лицу, которое имеет разреше
ние на получение этой информации.
Пояснения/заметки: конфиденциальная информация в материальной форме (например, печатная копия или сменный носитель информации) может быть доставлена:
● лично;
● по внутренней почте, в запечатанном конверте, помеченным надписью «Конфиденциально»;
● за пределы компании, достойной доверия компанией, осуществляющей доставку с обязательной подписью получателя, или обычной почтой, с использованием особого класса почтового отправления.
Конфиденциальная информация в электроннойформе (компьютерные файлы, файлы баз данных, электронная почта) может быть доставлена:
● как часть зашифрованного сообщения электронной почты;
● как зашифрованное вложение электроннойпочты;
● защищенной пересылкой на сервер внутренней сети компании;
● по факсу, в случае если доверенное лицо ожидает приема факса у аппарата, или используется зашифрованное телефонное соединение с защищенным паролем факссервером.
Конфиденциальная информация подлежит обсуждению лично:
– по внутреннему телефону;
– по внешнему телефону, в случае если соединение зашифровано;
– с использованием защищенного спутникового сеанса связи;
– зашифрованного канала видеоконференции;
– по зашифрованному протоколу VoIP.
При пересылке по факсу рекомендуется использовать такой метод: отправитель передает титульную страницу факса, затем получатель передает страницу в ответ, подтверждаятем самым свое присутствие у аппарата. После этого отправитель передает оставшуюсячасть факса.
Следующие способы пересылки или распространения Конфиденциальной информации являются неприемлемыми:
– незашифрованная электронная почта;
– сообщение голосовой почты;
– обычное почтовое отправление;
– любой способ беспроводной связи (сотовая
связь, SMS, WiFi, и т. д.).
2.4. Распространение личной информации (личное дело)
Политика: личное дело, т. е. информация о работнике (работниках), которая, будучи получена несанкционированным лицом, может быть использована для нанесения вреда работникам или компании в целом, может быть передана только Доверенному лицу, имеющему разрешение на ее получение.
Пояснения/заметки: личное дело в материальной форме (например, печатная копия или сменный носитель информации) может быть передана точно так же, как и Конфиденциальная.
2.5. Распространение внутренней информации
Политика: внутренняя информация – информация, подлежащая распространению только в пределах компании или среди других лиц, подписавшими Договор о неразглашении информации. Ответственным лицом компании разрабатывается инструкция по распространению внутренней информации.
Объяснение/Заметки: внутренняя информация может передаваться в любой форме, включая внутреннюю электронную почту, но не может быть передана за пределы компании в незашифрованном виде.
2.6. Обсуждение информации для служебного пользования по телефону
Политика: перед раскрытием любой информации, не помеченной как Открытая, по телефону, раскрывающий сотрудник должен знать собеседника по голосу, или телефонная система компании должна идентифицировать звонок, как исходящей с внутреннего телефонного номера, присвоенного собеседнику.
Пояснения/заметки: если голос собеседника вам не знаком, вызовите его по внутреннему телефонному номеру для его идентификации с помощью записанного сообщения голосовой почты, или обратитесь к непосредственному начальнику запрашивающего сотрудника для проведения всех необходимых проверок.
2.7. Процедуры обмена информацией для сотрудников приемных.
Политика: работники приемной должны осуществить проверку подлинности любого запрашивающего информацию/ пакет/ посылку лица по фотографии, если это лицо не является известным сотрудником. Фамилия, Имя, Отчество, документ, удостоверяющий личность получателя, место работы (и прочее), полученные предметы и время их получения должны быть занесены в журнал.
Пояснения/заметки: данное правило также распространяется на всю исходящую корреспонденцию и почтовые отправления в любой сервис доставки.
2.8. Передача программного обеспечения третьим лицам.
Политика: перед передачей любого программного обеспечения, или инструкции (документации) к программному обеспечению, личность запрашивающего лица должна быть установлена и осуществлена проверка соответствия такой передачи установленному классу для передаваемой информации. Обычно программное обеспечение, разработанное внутри компании и передаваемое в виде исходных текстов относят к классу Конфиденциальной
информации.
Пояснения/заметки: выдача программного обеспечения может производиться на основании выводов о том, является ли оно необходимым для работы запрашивающего сотрудника.
2.9. Процедуры обмена информацией для сотрудников отделов Маркетинга и Продаж
Политика: работники отделов продаж и маркетинга должны оценить реальную необходимость в сообщении потенциальным клиентам номеров внутренних телефонов сотрудников, планов компании относительно продуктов, или другой информации для служебного пользования.
Пояснения/заметки: довольно широко применяется тактика, используемая многими промышленными шпионами: связаться с представителем отдела маркетинга (продаж) и заставить его поверить, что в ближайшем будущем может быть сделан большой заказ. Предвкушая благоприятную возможность получить большую прибыль, представители компании часто раскрывают информацию, которая может быть использована атакующим как ключ для получения доступа к информации для служебного пользования.
2.10. Передача файлов (данных).
Политика: файлы не должны копироваться на любые сменные носители, за исключением случая, когда запрашивающее лицо является доверенным, и его личность была установлена в соответствии со всеми процедурами идентификации.
Пояснения/заметки: социальный инженер может с легкостью одурачить сотрудника убедительной просьбой скопировать информацию для служебного пользования на диск, или другой сменный носитель, и отправить ее в приемную, где он ожидает ее получения.