Наявність документованої політики безпеки даних є рекомендованою практикою для будь-якої організації. Це особливо важливо для компаній, на які поширюються суворі вимоги законодавства щодо захисту персональних даних.
Політики безпеки даних зазвичай охоплюють такі теми, як шифрування даних, захист паролів і контроль доступу. Водночас вони не повинні обмежуватися лише технічними заходами. Такі політики також мають описувати адміністративні та фізичні засоби контролю, що використовуються для захисту чутливої інформації. Окремо необхідно визначити ролі та функції, пов’язані із захистом даних.
Нижче наведено шаблон політики безпеки даних компанії. Його можна адаптувати відповідно до вимог організації у сфері безпеки та відповідності нормативним вимогам.
Шаблон політики безпеки даних
Нижче наведено ключові розділи, які варто включити до політики безпеки даних, а також приклади формулювань для такої політики.
1. Призначення
У цьому розділі пояснюється, чому політика впроваджується та яких правил слід дотримуватися після її введення в дію. Наприклад:
Компанія повинна обмежувати доступ до конфіденційних і чутливих даних для запобігання їх втраті або компрометації. Будь-який інцидент може негативно вплинути на клієнтів, призвести до штрафів за невідповідність вимогам і завдати шкоди репутації компанії. Водночас користувачі повинні мати доступ до даних, необхідних для ефективного виконання робочих обов’язків.
Не очікується, що ця політика повністю усуне ризик навмисного викрадення даних. Основна мета полягає у підвищенні обізнаності користувачів і запобіганні випадковим витокам даних. Саме тому документ визначає рекомендовані практики для запобігання порушенням безпеки даних.
2. Сфера дії
2.1. Входить до сфери дії
У цьому розділі перелічуються всі області, на які поширюється політика, наприклад джерела та типи даних.
Ця політика безпеки даних застосовується до всіх клієнтських даних, персональних даних та інших даних компанії, визначених як чутливі відповідно до політики класифікації даних компанії. Політика поширюється на всі сервери, бази даних та ІТ-системи, які обробляють такі дані. Також вона охоплює будь-які пристрої, що регулярно використовуються для електронної пошти, вебдоступу або виконання робочих завдань. Усі користувачі, які взаємодіють з ІТ-сервісами компанії, підпадають під дію цієї політики.
2.2. Не входить до сфери дії
У цьому розділі визначається, що саме виключається з політики безпеки даних.
Інформація, класифікована як «Публічна», не підпадає під дію цієї політики. Інші типи даних можуть бути виключені з політики керівництвом компанії на основі конкретних бізнес-потреб. Наприклад, якщо захист таких даних є надто дорогим або складним у реалізації.
3. Політика
Цей розділ містить всі вимоги політики.
3.1. Принципи
Компанія повинна надавати співробітникам і залученим третім сторонам доступ лише до тієї інформації, яка необхідна для ефективного виконання їхніх обов’язків.
3.2. Загальні положення
a. Кожному користувачу має бути призначено унікальний ідентифікатор користувача. Це необхідно для забезпечення персональної відповідальності за виконані дії.
b. Використання спільних облікових записів дозволяється лише у випадках, коли це є доцільним. Наприклад, для навчальних або сервісних облікових записів.
c. Кожен користувач повинен прочитати цю політику безпеки даних і підписати документ, який підтверджує розуміння умов доступу.
d. Журнали доступу користувачів можуть використовуватися як доказова база під час розслідування інцидентів безпеки.
e. Доступ має надаватися відповідно до принципу найменших привілеїв. Це означає, що кожному користувачу, застосунку чи сервісу надаються лише ті права, які необхідні для виконання конкретних завдань.
3.3. Авторизація контролю доступу
Доступ до ІТ-ресурсів і сервісів компанії надається через унікальний обліковий запис користувача та складний пароль. Облікові записи створюються ІТ-відділом на основі даних HR-відділу.
Керування паролями здійснюється службою підтримки ІТ. Вимоги до довжини, складності та строку дії паролів визначаються окремою політикою паролів.
Для захисту доступу до файлових ресурсів у доменах Active Directory використовується модель контролю доступу на основі ролей (RBAC).
3.4. Доступ до мережі
a. Усі співробітники та підрядники повинні отримувати доступ до мережі відповідно до процедур контролю доступу та принципу найменших привілеїв.
b. Усі співробітники та підрядники, які мають віддалений доступ до корпоративних мереж, повинні проходити автентифікацію виключно через механізми VPN.
c. Сегментація мереж повинна впроваджуватися відповідно до рекомендацій компанії щодо мережевої безпеки. Мережеві адміністратори мають групувати інформаційні сервіси, користувачів та інформаційні системи для забезпечення необхідного рівня сегментації.
d. Повинні використовуватися механізми маршрутизації мережевого трафіку, які підтримують політику контролю доступу.
3.5. Обов’язки користувачів
a. Користувачі повинні блокувати екрани своїх пристроїв щоразу, коли залишають робоче місце. Це знижує ризик несанкціонованого доступу.
b. Під час залишення робочого місця користувачі не повинні залишати у відкритому доступі конфіденційну або чутливу інформацію.
c. Паролі повинні залишатися конфіденційними. Їх не можна передавати іншим особам.
3.6. Доступ до застосунків та інформації
a. Співробітники та підрядники компанії повинні отримувати доступ лише до тих даних і застосунків, які необхідні для виконання їхніх посадових обов’язків.
b. Доступ до чутливих даних і систем дозволяється лише за наявності робочої потреби та відповідного погодження керівництва.
c. Чутливі системи повинні бути фізично або логічно ізольовані. Це необхідно для обмеження доступу лише авторизованим особам.
3.7. Доступ до конфіденційної інформації або інформації з обмеженим доступом
a. Доступ до даних, класифікованих як «Конфіденційні» або «З обмеженим доступом», повинен надаватися лише уповноваженим особам, чиї посадові обов’язки цього потребують. Рішення визначаються політикою безпеки даних або керівництвом компанії.
b. Відповідальність за впровадження обмежень доступу покладається на підрозділ інформаційної безпеки.
4. Технічні рекомендації
Технічні рекомендації мають визначати вимоги до технічних засобів контролю доступу до даних.
Методи контролю доступу можуть включати:
- аудит спроб входу до будь-якого пристрою корпоративної мережі;
- дозволи NTFS для файлів і каталогів;
- модель доступу на основі ролей;
- права доступу до серверів;
- дозволи міжмережевих екранів;
- мережеві зони та ACL для VLAN;
- права вебавтентифікації;
- права доступу до баз даних та ACL;
- шифрування даних під час зберігання та передавання;
- сегментацію мережі.
Контроль доступу повинен застосовуватися до всіх мереж, серверів, робочих станцій, ноутбуків, мобільних пристроїв, вебзастосунків, вебсайтів, хмарних сховищ і сервісів.
5. Вимоги до звітності
У цьому розділі визначаються вимоги щодо повідомлення про інциденти. Усі співробітники повинні бути навчені процедурам повідомлення про інциденти.
a. Щоденні звіти про інциденти повинні формуватися підрозділом інформаційної безпеки або командою реагування на інциденти.
b. Підрозділ інформаційної безпеки повинен готувати щотижневі звіти з деталями всіх інцидентів і надсилати їх ІТ-менеджеру або директору.
c. Інциденти з високим пріоритетом мають негайно ескалюватися до рівня ІТ-керівництва.
d. Підрозділ інформаційної безпеки також повинен формувати щомісячний звіт із кількістю інцидентів інформаційної безпеки та відсотком інцидентів, які були усунені.
6. Власники та відповідальність
У цьому розділі визначається, хто є власником даних і хто відповідає за конкретні дії та засоби контролю.
- Власники даних – співробітники, які несуть основну відповідальність за підтримку інформації, якою вони володіють. Наприклад, керівники підрозділів або команд.
- Адміністратор інформаційної безпеки – співробітник, призначений ІТ-керівництвом для надання адміністративної підтримки під час впровадження, контролю та координації процедур і систем безпеки, що стосуються конкретних інформаційних ресурсів.
- Користувачі – усі особи, які мають доступ до інформаційних ресурсів. Це можуть бути співробітники, підрядники, консультанти, тимчасовий персонал або волонтери.
- Команда реагування на інциденти повинна очолюватися керівником і включати представників підрозділів ІТ-інфраструктури, безпеки застосунків, юридичного відділу, фінансових служб та HR.
7. Забезпечення виконання
У цьому розділі мають бути чітко визначені санкції за порушення вимог контролю доступу.
Будь-який користувач, який порушує вимоги цієї політики, може бути притягнутий до дисциплінарної відповідальності, включно зі звільненням. Для сторонніх партнерів або підрядників наслідком може бути припинення доступу до корпоративної мережі.
8. Визначення термінів
Цей розділ містить визначення технічних термінів, використаних у політиці, для забезпечення однозначного розуміння їхнього значення. Нижче наведено кілька прикладів:
- ACL (Access Control List, список контролю доступу) – список записів контролю доступу (access control entries, ACE). Кожен запис ACE у списку ACL визначає довірену сторону та вказує права доступу, які для неї дозволені, заборонені або підлягають аудиту.
- База даних – організована сукупність даних, яка зазвичай зберігається та обробляється електронними засобами в комп’ютерній системі.
- Шифрування – процес кодування повідомлення або іншої інформації таким чином, щоб доступ до неї могли отримати лише авторизовані сторони.
- Міжмережевий екран – технологія, що використовується для ізоляції однієї мережі від іншої. Міжмережеві екрани можуть бути окремими пристроями або входити до складу інших систем, наприклад маршрутизаторів чи серверів.
- Сегментація мережі – поділ мережі на логічні або функціональні одиниці, які називаються зонами. Сегментація допомагає запобігати розгалуженню атаки зловмисників у мережі.
- RBAC (Role-Based Access Control, контроль доступу на основі ролей) – модель надання привілеїв на основі посадових функцій користувача.
- Сервер – комп’ютерна програма або пристрій, що надає функціональні можливості іншим програмам або пристроям, які називаються клієнтами.
- VPN (Virtual Private Network, віртуальна приватна мережа) – захищене приватне мережеве з’єднання через публічну мережу.
- VLAN (Virtual Local Area Network, віртуальна локальна мережа) – логічне об’єднання пристроїв в одному широкомовному домені.
9. Пов’язані документи
У цьому розділі перелічуються документи, пов’язані з політикою. Цей список може містити наступну інформацію:
- політика класифікації даних;
- політика паролів;
- політика запобігання витокам даних;
- політика шифрування;
- політика реагування на інциденти;
- політика безпеки робочих станцій;
- угода про обробку даних.
10. Історія змін
Політика захисту даних повинна регулярно переглядатися та оновлюватися з урахуванням нових активів і робочих процесів. Кожна зміна повинна документуватися.
| Версія | Дата | Автор | Зміни |
| 1.0 | 12 червня 2019 | J. Smith, IT Manager | Початкова версія |
| 2.0 | 14 липня 2022 | J. Smith, IT Manager | Оновлено список визначень |
Висновок
Наведені приклади політики захисту даних формують основу для створення документа, адаптованого до потреб конкретної організації. Політика повинна забезпечувати баланс між надійним захистом даних, продуктивністю користувачів та зручністю для них. Водночас документ має залишатися зрозумілим, доступним і лаконічним.
