Наличие документированной политики безопасности данных является рекомендуемой практикой для любой организации. Это особенно важно для компаний, на которые распространяются строгие требования законодательства по защите персональных данных.
Политики безопасности данных обычно включают такие темы, как шифрование данных, защита паролей и контроль доступа. В то же время они не должны ограничиваться только техническими мерами. Такие политики также должны описывать административные и физические средства контроля, используемые для защиты чувствительной информации. Отдельно необходимо определить роли и функции, связанные с защитой данных.
Ниже приведен шаблон политики безопасности данных компании. Его можно адаптировать в соответствии с требованиями организации в сфере безопасности и соответствия нормативным требованиям.
Шаблон политики безопасности данных
Ниже приводятся ключевые разделы, которые следует включить в политику безопасности данных, а также примеры формулировок для такой политики.
1. Назначение
В этом разделе объясняется, почему политика внедряется и какие правила следует соблюдать после ее введения в действие. Например:
Компания должна ограничивать доступ к конфиденциальным и чувствительным данным для предотвращения их потери или компрометации. Любой инцидент может негативно повлиять на клиентов, привести к штрафам за несоответствие требованиям и нанести ущерб репутации компании. В то же время, пользователи должны иметь доступ к данным, необходимым для эффективного выполнения рабочих обязанностей.
Не ожидается, что эта политика полностью устранит риск умышленного хищения данных. Основная цель состоит в повышении осведомленности пользователей и предотвращении случайных утечек данных. Именно поэтому документ определяет рекомендованные практики для предотвращения нарушений безопасности данных.
2. Сфера действия
2.1. Входит в сферу действия
В этом разделе перечислены все области, на которые распространяется политика, например источники и типы данных.
Эта политика безопасности данных применяется ко всем клиентским данным, персональным данным и другим данным компании, определенным как чувствительные в соответствии с политикой классификации данных компании. Политика распространяется на все серверы, базы данных и IT-системы, обрабатывающие данные. Также она охватывает любые устройства, регулярно используемые для электронной почты, веб-доступа или выполнения рабочих задач. Все пользователи, взаимодействующие с IT-сервисами компании, подпадают под действие этой политики.
2.2. Не входит в сферу действия
В этой главе определяется, что именно исключается из политики безопасности данных.
Информация, классифицированная как «Публичная», не подпадает под действие этой политики. Другие типы данных могут быть исключены из политики руководством компании на основе конкретных рабочих потребностей. Например, если защита таких данных слишком дорогая или сложная в реализации.
3. Политика
Этот раздел содержит все требования политики.
3.1. Принципы
Компания должна предоставлять сотрудникам и привлеченным третьим сторонам доступ только к той информации, которая необходима для эффективного выполнения их обязанностей.
3.2. Общие положения
a. Каждому пользователю должен быть назначен уникальный идентификатор пользователя. Это необходимо для обеспечения персональной ответственности за совершенные действия.
b. Использование общих учетных записей разрешается только в тех случаях, когда это целесообразно. Например, для обучающих или сервисных учетных записей.
c. Каждый пользователь должен прочитать эту политику безопасности данных и подписать документ, подтверждающий понимание условий доступа.
d. Журналы доступа пользователей могут использоваться в качестве доказательной базы при расследовании инцидентов безопасности.
e. Доступ должен предоставляться в соответствии с принципом наименьших привилегий. Это означает, что каждому пользователю, приложению или сервису предоставляются только те права, которые необходимы для выполнения конкретных задач.
3.3. Авторизация контроля доступа
Доступ к IT-ресурсам и сервисам компании предоставляется через уникальную учетную запись пользователя и сложный пароль. Учетные записи создаются IT-отделом на основе данных HR-отдела.
Управление паролями осуществляется службой поддержки IT. Требования к длине, сложности и сроку действия паролей определяются отдельной политикой паролей.
Для защиты доступа к файловым ресурсам в доменах Active Directory используется модель контроля доступа на основе ролей (RBAC).
3.4. Доступ к сети
a. Все сотрудники и подрядчики должны получать доступ к сети в соответствии с процедурами контроля доступа и принципом наименьших привилегий.
b. Все сотрудники и подрядчики, имеющие удаленный доступ к корпоративным сетям, должны проходить аутентификацию исключительно через механизмы VPN.
c. Сегментация сетей должна внедряться в соответствии с рекомендациями компании по сетевой безопасности. Сетевые администраторы должны группировать информационные сервисы, пользователей и информационные системы для обеспечения необходимого уровня сегментации.
d. Должны использоваться механизмы маршрутизации сетевого трафика, поддерживающие политику контроля доступа.
3.5. Обязанности пользователей
a. Пользователи должны блокировать экраны своих устройств каждый раз, когда покидают рабочее место. Это снижает риск несанкционированного доступа.
b. Пользователи не должны оставлять в открытом доступе конфиденциальную или чувствительную информацию, когда покидают рабочее место.
c. Пароли должны оставаться конфиденциальными. Их нельзя передавать другим лицам.
3.6. Доступ к приложениям и информации
a. Сотрудники и подрядчики компании должны получать доступ только к данным и приложениям, которые необходимы для выполнения их должностных обязанностей.
b. Доступ к чувствительным данным и системам разрешается только при наличии рабочей потребности и соответствующего согласования руководства.
c. Чувствительные системы должны быть физически или логически изолированы. Это необходимо для ограничения доступа только авторизованным лицам.
3.7. Доступ к конфиденциальной информации или информации с ограниченным доступом
a. Доступ к данным, классифицированным как «Конфиденциальные» или «С ограниченным доступом», должен предоставляться только уполномоченным лицам, чьи должностные обязанности в этом нуждаются. Решения определяются политикой безопасности данных или руководством компании.
b. Ответственность за внедрение ограничений доступа возлагается на подразделение информационной безопасности.
4. Технические рекомендации
Технические рекомендации должны определять требования к техническим средствам контроля доступа к данным.
Методы контроля доступа могут включать:
- аудит попыток входа в любое устройство корпоративной сети;
- разрешения NTFS для файлов и каталогов;
- модель доступа на основе ролей;
- права доступа к серверам;
- разрешения межсетевых экранов;
- сетевые зоны и ACL для VLAN;
- права веб-аутентификации;
- права доступа к базам данных и ACL;
- шифрование данных при хранении и передаче;
- сегментацию сети.
Контроль доступа должен применяться ко всем сетям, серверам, рабочим станциям, ноутбукам, мобильным устройствам, веб-приложениям, веб-сайтам, облачным хранилищам и сервисам.
5. Требования к отчетности
В этом разделе определяются требования по сообщению об инцидентах. Все сотрудники должны быть обучены процедурам уведомления об инцидентах.
a. Ежедневные отчеты об инцидентах должны формироваться подразделением информационной безопасности или командой реагирования на инциденты.
b. Подразделение информационной безопасности должно готовить еженедельные отчеты с деталями всех инцидентов и направлять их IT-менеджеру или директору.
c. Инциденты с высоким приоритетом должны немедленно эскалироваться на уровень IT-руководства.
d. Подразделение информационной безопасности также должно формировать ежемесячный отчет с количеством инцидентов информационной безопасности и процентом устраненных инцидентов.
6. Владельцы и ответственность
В этом разделе определяется кто владелец данных и кто отвечает за конкретные действия и средства контроля.
- Владельцы данных – сотрудники, несущие основную ответственность за поддержку информации, которой они владеют. К примеру, руководители подразделений или команд.
- Администратор информационной безопасности – сотрудник, назначенный IT-руководством для предоставления административной поддержки при внедрении, контроле и координации процедур и систем безопасности, касающихся конкретных информационных ресурсов.
- Пользователи – все лица с доступом к информационным ресурсам. Это могут быть сотрудники, подрядчики, консультанты, временный персонал или волонтеры.
- Команда реагирования на инциденты должна возглавляться руководителем и включать в себя представителей подразделений IT-инфраструктуры, безопасности приложений, юридического отдела, финансовых служб и HR.
7. Обеспечение выполнения
В этом разделе должны быть четко определены санкции за нарушение требований контроля доступа.
Любой пользователь, нарушающий требования этой политики, может быть привлечен к дисциплинарной ответственности, включая увольнение. Для сторонних партнеров или подрядчиков следствием может быть прекращение доступа к корпоративной сети.
8. Определение терминов
В этом разделе содержатся определения технических терминов, используемых в политике, для обеспечения однозначного понимания их значения. Ниже приведено несколько примеров:
- ACL (Access Control List, список контроля доступа) – список записей контроля доступа (Access control entries, ACE). Каждая запись ACE в списке ACL определяет доверенную сторону и указывает права доступа, разрешенные, запрещенные или подлежащие аудиту.
- База данных – организованная совокупность данных, обычно хранимая и обрабатываемая электронными средствами в компьютерной системе.
- Шифрование – процесс кодирования сообщения или другой информации таким образом, чтобы доступ к ней могли получить только авторизованные стороны.
- Межсетевой экран – технология, используемая для изоляции одной сети от другой. Межсетевые экраны могут быть отдельными устройствами или входить в другие системы, например маршрутизаторы или серверы.
- Сегментация сети – разделение сети на логические или функциональные единицы, называемые зонами. Сегментация помогает предотвращать разветвление атаки злоумышленников в сети.
- RBAC (Role-Based Access Control, контроль доступа на основе ролей) – модель предоставления привилегий на основе должностных функций пользователя.
- Сервер – компьютерная программа или устройство, предоставляющее функциональные возможности другим программам или устройствам, называемым клиентами.
- VPN (Virtual Private Network, виртуальная приватная сеть) – защищенное частное сетевое соединение через публичную сеть.
- VLAN (Virtual Local Area Network, виртуальная локальная сеть) – логическое объединение устройств в одном широковещательном домене.
9. Связанные документы
В этом разделе перечислены документы, связанные с политикой. Этот список может содержать следующую информацию:
- политика классификации данных;
- политика паролей;
- политика предотвращения утечек данных;
- политика шифрования;
- политика реагирования на инциденты;
- политика безопасности рабочих станций;
- соглашение об обработке данных.
10. История изменений
Политика безопасности данных должна регулярно просматриваться и обновляться с учетом новых активов и рабочих процессов. Каждое изменение должно документироваться.
| Версия | Дата | Автор | Изменения |
| 1.0 | 12 июня 2019 | J. Smith, IT Manager | Изначальная версия |
| 2.0 | 14 июля 2022 | J. Smith, IT Manager | Обновлено список определений |
Вывод
Приведенные примеры политики защиты данных формируют основу создания документа, адаптированного к потребностям конкретной организации. Политика должна обеспечивать баланс между надежной защитой данных, производительностью пользователей и удобством для них. В то же время, документ должен оставаться понятным, доступным и лаконичным.
