Поиск по сайту:

Управление ИТ: обязательные политики

Политики и процедуры не завораживают, но они имеют решающее значение для поддержания вашей безопасности за счет правильного использования ваших систем. Вот обязательные политики, которые вам потребуются в 2021 году.

Захватывающий мир управления ИТ

Управление ИТ — это внедрение набора политик и процедур, которым следуют ваши сотрудники при доступе к ИТ-ресурсам. Документация формирует структуру управления, предоставляющую инструкции и рекомендации для ваших сотрудников. Если ваши сотрудники придерживаются политики, они будут использовать ваше ИТ-оборудование так, как вы предписали.

Иногда законодательство о защите данных, например Общий регламент по защите данных (GDPR), требует от вас наличия определенных процедур и политик. Если вы выбрали соответствие стандарту, такому как ISO 27001, будет установлен обязательный набор инструментов управления, чтобы вы соответствовали стандарту.

Это простой принцип. Вы решаете, как вы хотите, чтобы все было сделано, документируете это, и все придерживаются положений в документах. Это как миниатюрная правовая система. Совокупность законов принимается, документируется и вступает в силу.

Разработка, пересмотр и поддержание политик и процедур не гламурны и уж точно не увлекательны. Но это критично.

Критическая политика

Даже если законодательство о защите данных не обязывает вас внедрять политики и процедуры и вы не следуете каким-либо необязательным стандартам, вам все равно нужны некоторые средства контроля. Политики, обсуждаемые в этой статье, — это необходимый минимум. Однако они будут не единственными документами, которые вам нужны, потому что политики порождают процедуры и другие подтверждающие документы.

Политика определяет требования к поведению людей и управлению технологическим контролем. Они действуют как «заявление о миссии», устанавливая требования и стандарты, которым организация хочет следовать. Подробные пошаговые инструкции и другая вспомогательная информация содержатся в соответствующих процедурах, реестрах и планах.

Держите свои политики четко сфокусированными и конкретными. Не пытайтесь втиснуть все в один документ. Разделение их помогает закрепить идею о том, что разные темы — это разные концепции, о которых люди должны помнить. Это также упрощает управление документами в ходе циклов проверки и пересмотра.

Придайте своим процедурам согласованный внешний вид и включите в преамбулу несколько стандартных разделов, прежде чем переходить к основной части процедуры. Включите раздел «Цель», в котором объясняются цель и задачи процедуры. Кроме того, включите раздел «Область действия», в котором перечислены лица, подпадающие под действие процедуры. Распространяется ли процедура на всех сотрудников, или только на пользователей определенного пакета программ, или только на удаленных работников? Распространяется ли это на подрядчиков и временных работников?

Если есть термины, требующие объяснения, включите список определений. Если этот раздел занимает больше половины страницы или около того, вам, вероятно, нужно очистить часть техноязыка. Не пишите для технических пользователей, пишите для каждого пользователя.

Политика допустимого использования

Политика допустимого использования разъясняет, что является приемлемым, а что недопустимым использованием ваших ИТ-ресурсов, данных и других активов. Вам необходимо официально задокументировать, что вы запрещаете загрузку, создание, манипулирование, передачу или хранение:

  • Любые незаконные, оскорбительные, непристойные или непристойные изображения или данные.
  • Материал, который носит клеветнический, угрожающий, дискриминационный или экстремистский характер.
  • Нежелательные «неприятные» электронные письма.
  • Материалы, пропагандирующие дискриминацию по признаку расы, пола, религии, инвалидности, возраста или сексуальной ориентации.
  • Материалы с намерением совершить преступление, такое как мошенничество или другой обман.
  • Материалы, нарушающие права интеллектуальной собственности вашей или другой организации.
  • Социальные сети или другие публичные сообщения, которые наносят ущерб репутации вашей организации.

Четко укажите, что ваши ИТ-услуги не должны преднамеренно использоваться для действий, которые имеют или могут иметь какие-либо из следующих характеристик:

  • Преднамеренная трата времени, усилий или других ресурсов организации или любого другого пользователя
  • Повреждение, изменение или уничтожение данных другого пользователя без разрешения.
  • Намеренное нарушение работы других пользователей или нормального функционирования вашей сети и других ИТ-ресурсов.
  • Внедрите перехват данных, обнаружение паролей или подобное программное обеспечение или устройства в свои ИТ-активы.
  • Пытаться получить несанкционированный доступ к закрытым областям сети.
  • Подключите любое неавторизованное устройство хранения данных к сети.
  • Выполнять любые действия, которые обычно называют «взломом».
  • Преднамеренно или по неосторожности внедрять шпионское ПО, компьютерный вирус или другое потенциально вредоносное ПО в любой форме.

Вы также должны указать ряд санкций или репрессалий, которые могут возникнуть в результате несоблюдения политики.

Политика классификации данных

Различные типы данных имеют разную ценность и будут иметь разную серьезность последствий в случае утечки данных. Интеллектуальная собственность, материалы, защищенные авторскими правами, конфиденциальные материалы компании и другие конфиденциальные данные должны быть защищены.

Личная информация (PII) также должна быть защищена, и во многих юрисдикциях она должна быть защищена в соответствии с законодательством о защите данных. Некоторые типы PII считаются особыми категориями данных — например, медицинская информация и PII несовершеннолетних — и должны обрабатываться и защищаться особым образом.

Единственный способ четко зафиксировать различные категории данных, которые вы создаете, собираете, храните, передаете и обрабатываете, — это создать политику классификации данных. Для этого требуется аудит данных в вашей организации для количественной оценки данных, которыми вы владеете.

Схема может быть относительно простой. Один из распространенных подходов заключается в использовании:

  • Сильно ограничено: строго конфиденциальная информация. Ненадлежащее раскрытие этой категории данных может нанести серьезный ущерб или причинить страдания отдельным лицам. Это также может считаться несоблюдением применимого законодательства о защите данных. Потеря такого типа данных может нанести серьезный ущерб вашим интересам и репутации или поставить под угрозу безопасность вашей организации, сотрудников или ваших клиентов.
  • Ограничено: конфиденциальная информация. Ненадлежащее раскрытие этой категории данных окажет негативное влияние на отдельных лиц. Это также может считаться несоблюдением применимого законодательства о защите данных. Это может нанести ущерб интересам вашей организации и иметь негативные последствия в целом.
  • Для внутреннего использования. Эта информация считается внутренней, а не общедоступной, но ее раскрытие не повлечет существенного ущерба.

Хотя схема проста, выполнение тщательного аудита данных и их классификация могут оказаться сложными. Вы откроете для себя типы данных, которые охватывают определения и могут относиться к двум категориям. Самый безопасный способ обработки этих экземпляров — классифицировать данные как принадлежащие к более высокой из двух категорий. Вот примеры типов данных и категорий, к которым они принадлежат.

  • Строго ограничено: интеллектуальная собственность, коммерческая тайна и информация о разработке продукта. Чувствительная PII или большие объемы «нормальной» PII. Информация, касающаяся безопасности людей или безопасности вашей организации и ее ИТ-ресурсов.
  • Запрещено: личная информация, маркетинговые стратегии, документы по анализу рисков, финансовые отчеты и счета.
  • Внутреннее использование: неконфиденциальная внутренняя корреспонденция, например протоколы собраний.

Теперь, когда вы знаете, какие данные вы храните и за что несете ответственность, вы можете спланировать их безопасность. Для этого требуется политика информационной безопасности.

Политика информационной безопасности

Также называемая политикой ИТ-безопасности, эта политика, вероятно, будет меняться чаще всего. Пересмотр Политики информационной безопасности (ISP) может быть вызван изменениями в:

  • Инфраструктура компании.
  • ИТ-инфраструктура.
  • Ваши действия и цели обработки данных.
  • Обнаружение новых киберугроз.
  • Информация, полученная в результате предыдущих киберинцидентов.
  • Внешние факторы, такие как COVID-19 и быстрый переход на преимущественно удаленную работу.

Информационная безопасность — это поведение людей в отношении информации, за которую они несут ответственность, чему способствует надлежащее использование технологий. Ваш интернет-провайдер определяет общую позицию вашей организации в отношении обеспечения конфиденциальности, целостности и доступности ваших ИТ-систем и данных. В нем будут затронуты такие темы, как:

  • Контроль — технологический и управленческий — который должен быть на месте, и кто несет ответственность за их поддержку, обслуживание и проверку их постоянной эффективности.
  • Обязанности пользователей сети и ИТ-ресурсов.
  • Соблюдение любого законодательства о защите данных или других стандартов.
  • Расписания и стратегии установки исправлений для операционных систем, приложений и микропрограмм.
  • Контроль доступа должен быть определен для локальных и удаленных подключений к вашим ИТ-ресурсам. Все учетные записи пользователей должны иметь уникальный идентификатор и пароль. По возможности следует использовать двухфакторную или многофакторную аутентификацию.
  • Требование к Регистрации оборудования. Все ИТ-оборудование и активы, идентифицированные и зарегистрированные в нем.
  • Требование к регистру информационных активов. Это записывает по отделам, командам или другим разумным логическим подразделениям тип данных, которые они собирают, обрабатывают и передают. Это может быть требованием законодательства о защите данных.
  • Требование к Политике классификации данных.
  • Необходимость политики паролей. Если санкционированные компанией менеджеры паролей будут разрешены, они будут перечислены в Политике паролей.
  • Требование к оценке рисков кибербезопасности , включая случаи, когда ее необходимо проверить. Проверки могут потребоваться в соответствии с расписанием или из-за события, такого как ИТ-инцидент или утечка данных.
  • Правила использования портов USB, съемных носителей и использования неавторизованных приложений.
  • Типы журналов и частота просмотров журналов или автоматического анализа журналов.
  • Требования к непрерывности бизнеса. Подробная информация будет содержаться в Плане обеспечения непрерывности бизнеса или Плане аварийного восстановления.

Другие требования могут возникнуть в процессе создания вашего интернет-провайдера.

Политика паролей

Политика паролей устанавливает правила создания, защиты и использования паролей. Последние рекомендации Microsoft, Национального института стандартов и технологий (NIST) и Национального центра кибербезопасности (NCSC) способствуют изменению установленных норм. Они выступают за использование *фраз-паролей* — трех или более слов, разделенных знаками препинания, — а не *паролей*, использующих замену цифр и символов. Принуждение к регулярной смене пароля больше не рекомендуется.

  • Весь доступ к системе должен контролироваться аутентификацией с использованием как минимум уникальных пар идентификатора и пароля и, если возможно, двухфакторной аутентификации.
  • При первом входе пользователя в систему ему будет предложено сменить пароль.
  • Ненадежные пароли следует отклонять.
  • Пользователи никогда не должны делиться паролями.
  • Не следует использовать пароли более чем в одной системе.
  • Пароли не должны содержать информацию, которую можно было бы угадать с помощью методов социальной инженерии. Например, не используйте имена партнеров или детей, годовщины или даты рождения, спортивные команды, родные города, музыкальные коллективы и т. д.
  • Не используйте последовательности клавиш, такие как qwerty, q1w2e3r4 или asdfg.
  • Запрещается записывать пароли. Единственное место, где они могут быть сохранены, — это утвержденный компанией менеджер паролей.
  • Если пользователь подозревает, что его пароль был скомпрометирован, он должен немедленно сообщить об этом системному администратору.

По возможности используйте двух- или многофакторную аутентификацию. Автоматическую проверку паролей по базам данных I Been I Been Pwned (HIBP) можно использовать для отклонения паролей, которые уже находятся в базах данных HIBP. Если пароль находится в базах данных HIBP, то он уже находится в базах данных, используемых в программных средствах атаки методом перебора паролей и подстановки учетных данных.

План реагирования на инциденты

Ваш план реагирования на инциденты (IRP) — это руководство, которому вы следуете при возникновении инцидента кибербезопасности. Это связано с вашей Политикой утечки данных (DBP), но немного отличается от нее. DBP — это набор правил и действий, которым необходимо следовать, если личная информация была раскрыта или уничтожена.

Вы не пишете план спасательной шлюпки, когда корабль идет ко дну. Вы делаете это заранее и репетируете. То же самое относится и к вашему провайдеру. Включите все заинтересованные стороны в его разработку и просмотры. Сюда могут входить ИТ-услуги, функции по защите данных, человеческие ресурсы, юридические консультации, связи с общественностью и управление.

IRP обеспечивает обработку инцидента предписанным и эффективным методом, предназначенным для сведения к минимуму времени простоя, ущерба и потери данных. Заинтересованные стороны должны отрепетировать план, чтобы он был им знаком, чтобы ему доверяли и чтобы его не игнорировали в разгар инцидента.

Перечисляя действия и распределяя обязанности по командам или отделам, каждый знает свою роль и то, что нужно делать, и в какой последовательности.

Развертывание политик

Плавное внедрение процедур зависит от ряда факторов.

  • Они должны быть написаны так, чтобы их мог понять любой. Простой английский язык — это название игры.
  • Напишите их так, чтобы они были эффективными, а не впечатляющими. Никто не станет читать что-то похожее на «Войну и мир», а если и продираться, то никогда не сможет за этим уследить.
  • Представьте политики и объясните, почему они важны как для организации, так и для отдельных лиц.

Часто пересматривайте свое управление и принимайте предложения от своих сотрудников. Это люди на передовой, следящие за этими документами. Имеет смысл только слушать то, что они говорят.