Политика чистого экрана что это

Политика чистого стола и чистого экрана

a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;

b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;

c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;

d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;

e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.

a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;

b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;

c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;

d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;

e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.

Управление доступом в сеть

Доступ как к внутренним, так и к внешним сетевым услугам должен управляться:

соответствующие интерфейсы между сетью организации и другими сетями;

применение соответствующих механизмов аутентификации пользователей и оборудования;

управление доступом пользователей к информационным услугам.

Политика в отношении использования сетевых услуг

Пользователям должен быть предоставлен доступом только к разрешенным им услугам.

Политика должна описывать:

· сети и сетевые услуги, к которым разрешен доступ;

· процедуры выдачи разрешения на доступ;

· административные средства и процедуры для защиты доступа к сети;

· средства, используемые для доступа к сетям и сетевым услугам.

Аутентификация удаленных пользователей

Аутентификация удаленных пользователей может быть достигнута путем использования, например, методов, основанных на криптографии, аппаратных маркеров или протоколов с запросом и подтверждением. Можно использовать выделенные линии связи.

Аутентификация узлов сети криптографическими методами, например, основанными на машинных сертификатах может послужить в качестве альтернативного средства аутентификации групп удаленных пользователей, если они подключены к безопасному, совместно используемому компьютерному комплексу

Идентификация оборудования в сетях

Автоматическая идентификация оборудования должна быть рассмотрена как средство аутентификации подключений с конкретных мест и оборудования.

Идентификация оборудования может использоваться, если важно, чтобы подключение могло быть инициировано только с определенного места или оборудования.

Можно рассмотреть физическую защиту оборудования для того, чтобы поддержать защиту идентификатора оборудования.

Защита удаленных диагностических и конфигурационных портов

Физический и логический доступ к диагностическим и конфигурационным портам должен контролироваться и управляться.

Ненужные порты должны быть заблокированы или удалены

Разделение в сетях

Большие сети лучше разделять на отдельные логические домены, например, домены внутренней сети организации и домены внешней сети, каждый из которых защищен определенным периметром безопасности.

Специальные средства управления могут использоваться для разграничения во внутренней сети систем общего доступа, внутренних сетей и критических активов.

Средства для разделения

· Шлюз между 2мя доменами, настроенный на фильтрацию трафика между доменами и блокировку неразрешенного доступа в соответствии с политикой управления доступом (брандмауэр).

· VPN для групп пользователей

· Организация доменов управлением потоком данных в сети, используя возможности маршрутизации/коммутации, такие как список контроля доступа.

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Источник

Массовая удаленная работа: ликбез сотрудников в области ИБ

В рамках поддержания системы управления информационной безопасностью (ИБ) компании в боевом состоянии является повышение осведомленности персонала. По статистике, 70% от общего количества инцидентов ИБ происходит с непосредственным участием сотрудников, а 8 из 10 работников компаний допускают утечку корпоративной информации. Именно поэтому качественное взаимодействие с сотрудниками и повышение их осведомленности в области ИБ – залог безопасности в любой компании. Значимость этих процессов в текущих условиях гораздо выше, чем было ранее. После того как во втором квартале 2020 года весь мир оказался в условиях самоизоляции, большинство бизнес-процессов были переведены на удаленный формат работы. Поскольку ни одна компания не может полностью контролировать действия сотрудника, особенно работающего удаленно, то повышение осведомленности и осознанности работников в вопросах ИБ выходит на первый план. В этих условиях обеспечение безопасности информации по большей части возлагается на самих сотрудников, и удаленка в этом контексте может провоцировать дополнительные риски.

Компания ICL Services традиционно уделяла особое внимание повышению осведомлённости сотрудников вопросами ИБ. В текущих условиях, когда большая часть коллектива оказалась в хоум-офисе, особенно важно, чтобы они знали и понимали общие и частные требования по обработке, хранению и передаче информации. Зачастую заказчики, подрядчики и партнеры ICL Services также могут предъявлять особые требования к информационной безопасности в рамках сотрудничества. В рамках мероприятий ИБ, проводимых внутри компании, членам команды объясняют, почему так важно соблюдать требования информационной безопасности как нашей компании, так и наших партнеров.

Следование установленным в компании правилам ИБ позволяет сохранить конфиденциальность, целостность и доступность данных всех заинтересованных сторон. Сотрудники с высоким уровнем зрелости в вопросах ИБ с большей вероятностью будут выявлять риски и инциденты, предлагать улучшения в процессах не только компании, но и заказчика. Компания ICL Services предоставляет широкий спектр ИТ-услуг представителям крупного отечественного и зарубежного рынка, поэтому сотрудники сразу после официального трудоустройства (а иногда и до него) знакомятся с требованиями ИБ, установленными в компании. В случаях, когда требуется составить предварительное мнение о кандидате, работники службы ИБ приглашаются на интервью с соискателями. Все сотрудники, нанимающиеся на удаленную работу, проходят этап оценки рисков информационной безопасности, а с теми, кто в процессе исполнения обязанностей решил полностью перейти на удаленный формат, проводится персональный звонок с проработкой критичных элементов, на котором проверяется наличие всех контактных данных поддерживающих служб у сотрудника и доступа к планам непрерывности, уровень знаний правил хранения и передачи конфиденциальной информации и т.п.

Всем сотрудникам ICL Services, вне зависимости от формата работы (удаленка или офис), в целях качественного исполнения собственных обязанностей, сохранения конфиденциальности информации о компании, партнере или заказчике, а также во избежание репутационных и иных рисков, необходимо соблюдать следующие правила:

1) оперативно реагировать на фишинговые рассылки;

2) обеспечивать защиту конфиденциальной информации в соответствии с действующим законодательством;

3) не допускать посторонних лиц к конфиденциальной информации и корпоративным устройствам;

4) своевременно оповещать соответствующие службы об инцидентах информационной безопасности;

5) своевременно информировать о невозможности оказания сервиса заказчику (BCP-инциденты);

6) уничтожать конфиденциальные документы без возможности восстановления;

7) не осуществлять самостоятельный ремонт корпоративного оборудования;

8) незамедлительно информировать заинтересованные службы в случае утери/кражи устройств, содержащих конфиденциальную информацию;

9) соблюдать политику чистого стола и чистого экрана.

В рамках мероприятия разбираются примеры как из жизни компании, так и из профессионального опыта сотрудников службы информационной безопасности. Также рассматриваются инциденты информационной безопасности, которые произошли вне компании, но получили широкую огласку (напр., сценарий 9 эпизода Звездных войн, выложенный на eBay; конфликт между Рамблер и разработчиком Nginx). Слушатели Security Induction в рамках дискуссий сами выявляют связь этих инцидентов с правилами ИБ, формулируют «верное» решение, которое бы позволило предотвратить инцидент. Фокус на практических примерах позволяет максимально подробно разъяснить требования политик компании в области ИБ и дает возможность сотрудникам различных подразделений сопоставить их со своими рабочими обязанностями. При ответе на вопросы в рамках Security Induction «как правильно уничтожать конфиденциальную информацию», «почему важно передавать информацию по защищенным каналам», «как информация о партнерах, ставшая известной третьим лицам, может нанести ущерб заинтересованным сторонам» и другие, «разматывается клубок» причинно-следственных связей и демонстрируется наиболее правильный, безопасный путь действий в сложных ситуациях.

В связи с переходом на массовую удаленную работу проведение Security Induction стало особенно актуальным. Удаленка дополнила основной вектор обучения «Какие правила в работе с информацией необходимо соблюдать в нашей Компании?» вопросом «Почему особенно важно соблюдать все правила по работе с информацией при удаленной работе?». Особый акцент делается на том, что при удаленной работе сотруднику необходимо еще тщательнее следить за выполнением правил, поскольку ИБ компании — это задача всех сотрудников без исключения.

Само мероприятие в условиях удаленной работы большинства сотрудников сменило формат проведения. Если раньше встреча проводилась в очном формате и была ограничена вместимостью переговорной комнаты, то сейчас мероприятие проводится в формате вебинара, охватывает больше людей и позволяет подключаться удобными для сотрудников способами (ПК, смартфон и т.д.). Однако же, несмотря на новый формат, в рамках обучения проводится большое количество интерактивов с сотрудниками: опросы, обсуждения оптимального варианта действий, сторителлинг от участников и другие. Так как удерживать внимание публики на онлайн-мероприятии сложнее, чем на очном, материалы Security Induction были переработаны с целью упрощения восприятия информации: часть презентации теперь оформлена с использованием мемов и коротких юмористических видеороликов.

По окончании мероприятия сотрудникам рассылается письмо с полезными ссылками на корпоративные ресурсы по вопросам ИБ. Также сотрудникам назначаются курсы по информационной безопасности, дополняющие и расширяющие уже известную информацию. Обратная связь от сотрудников помогает обновлять и улучшать содержание мероприятия по повышению осведомленности, что благотворно сказывается на освоении материала.

Помимо Security Induction новый сотрудник также знакомится с правилами пропускного режима, с правилами оформления разрешения на вынос оборудования, изучает область действия Системы управления информационной безопасностью, проходит тестирование по Политике паролей, по работе с конфиденциальной информацией, по соглашению о конфиденциальности и обходным решениям, по Политике взаимодействия со СМИ. В данных активностях участвуют все сотрудники компании, в том числе и находящиеся на удаленной работе.

Таким образом, по завершении испытательного периода сотрудник может полноценно включиться в рабочие процессы и стать частью Системы Управления Информационной Безопасностью. Работник, получивший такие знания, сможет обнаружить и не дать реализоваться потенциальным инцидентам ИБ как в рабочих вопросах, так и в повседневной жизни. Это, в свою очередь, является одним из базовых гарантов защиты конфиденциальной информации компании, ее партнеров и заказчиков.

Все активности компании ICL Services, имеющие целью повышение осведомленности сотрудников в опросах ИБ, позволяют держать в тонусе внутреннюю команду, а заказчики, в свою очередь, могут быть уверены, что в их системах и с их данными работают специалисты, хорошо подкованные в вопросах информационной безопасности.

Источник

Физическая безопасность

Похитители личных данных и информации часто просматривают мусор, что называется нырянием в мусорные контейнеры, чтобы найти конфиденциальную или конфиденциальную информацию, которая не была должным образом утилизирована. Всегда утилизируйте эти документы, измельчив их или уничтожив иным образом. Имейте в виду, что копии конфиденциальных документов также необходимо будет измельчить или уничтожить для защиты данных на рабочем месте. Воры также могут искать выброшенные USB-накопители, компакт-диски и другие физические носители, которые также следует надлежащим образом уничтожить перед тем, как выбросить. Если вас беспокоит, как с этим справиться на работе, проверьте политику управления мультимедиа вашей организации.

Когда вы покидаете общую зону собрания или конференц-зал, обязательно сотрите все белые доски перед тем, как уйти, и никогда не выбрасывайте конфиденциальную информацию в мусор в общих зонах встреч. Утилизируйте его в соответствии с политикой безопасности нашей организации. Всегда собирайте оставшиеся бумажные копии презентаций или графиков, чтобы они не попали в недружественные руки.

Будьте осторожны с различными методами физической безопасности, которые преступники используют изнутри при нападении на организации. Например, преступник может использовать просроченный пропуск, чтобы обмануть охранника или получить доступ к запертой комнате. В крупных организациях наглый преступник может попытаться слиться с толпой, возвращающейся с обеда, и получить несанкционированный доступ в здание. Это называется «опозданием». Убирайте документы, содержащие конфиденциальную информацию, когда вы покидаете рабочее место. Используйте политику «чистого стола», чтобы гарантировать, что ничего, что может причинить вред, если подвергнуть его воздействию, не осталось под открытым небом. Выходите из системы, когда делаете перерыв или уезжаете на день.

Когда вы покидаете свое рабочее место незащищенным и без присмотра, злоумышленник или злоумышленник может получить доступ к вашему столу и увидеть конфиденциальные документы, о которых вы оставили лежать. Чтобы сделать снимок документа, сделать его фотокопию или сразу украсть, требуется всего несколько секунд, что может поставить под угрозу безопасность организации. Используйте концепцию «чистого стола», не оставляя конфиденциальные документы открытыми на вашем столе. Запирайте свои конфиденциальные документы в картотеке или сейфе всякий раз, когда вы покидаете это место. Всегда следуйте политике контроля документов вашей организации для всех печатных материалов.

Печатные копии документов, которые не используются и больше не нужно хранить, следует при необходимости измельчить в соответствии с политикой хранения записей организации. Практикуйте концепцию «чистого стола» и никогда не оставляйте документы на столе без присмотра. Храните их в надежном запирающемся ящике стола картотеки.

Когда вы находитесь вдали от рабочего места, заблокируйте конфиденциальную информацию на своем столе или в картотеке и используйте защищенную паролем хранитель экрана.

Общие зоны для встреч могут быть уязвимы для внутренних угроз. Не приносите конфиденциальную информацию в общие зоны для встреч, например в конференц-залы. Приносите только те данные, которые вам нужны для каждой встречи, чтобы снизить вероятность подверженности риску. После встречи соберите оставленные документы для надлежащей утилизации.

Чем больше у вас вещей на столе, тем больше вероятность того, что у вас есть важные или конфиденциальные данные, которые не хранятся должным образом. Убедитесь, что ваш стол убирается в конце каждого дня, чтобы обеспечить безопасность конфиденциальных документов.

Убедитесь, что ваш домашний компьютер находится в прохладной и сухой части дома. В идеале ваш компьютер должен быть приподнят над полом, чтобы избежать скопления пыли и грязи внутри него.

Любая область, для доступа к которой требуется уровень допуска, например значок или ключ-карта, должна быть защищена от вторжения. Вы всегда должны быть уверены, что надежно закрываете за собой дверь, даже если вы собираетесь входить и выходить быстро. За то время, пока вы входите и выходите, кто-то другой может сделать то же самое.

Оставление дверей или окон открытыми может дать злоумышленникам доступ к ценным физическим и информационным активам и может создать угрозу безопасности сотрудников. Закройте и заприте открытые двери и окна, затем сообщите подробности руководству или отделу безопасности.

Когда вы находитесь на публике и говорите по мобильному телефону, вас может подслушивать любой. Не обсуждайте конфиденциальную информацию, например информацию о рабочем месте или информацию, позволяющую установить личность, пока вы находитесь на публике. Кто-то может собрать от вас достаточно информации, чтобы войти в одну из ваших учетных записей или даже украсть вашу личность.

Наличие ценных предметов рядом с окнами облегчает вору их быстрый захват и может сделать вас мишенью. Все окна, выходящие на улицу, должны быть закрыты жалюзи или шторами, а ценные вещи не должны приближаться к этим окнам. Убедитесь, что ваши окна всегда закрыты и заперты, когда вас нет рядом.

Если вам нужно сообщить кому-либо по телефону какую-либо конфиденциальную или конфиденциальную информацию, сначала убедитесь, что вас не могут подслушать. Никогда не обсуждайте конфиденциальные данные организации или личную конфиденциальную информацию в общественных местах.

При обнаружении пожара сначала включите сигнал тревоги, чтобы уведомить руководство и персонал о риске для безопасности и начать процедуры эвакуации. Если это безопасно, воспользуйтесь огнетушителем, следуя предписанным процедурам, чтобы попытаться потушить огонь.

Большинству из нас знакома идея о том, что файлы cookie помогают идентифицировать нас рекламодателям и владельцам веб-сайтов при посещении веб-сайтов. Однако тип вашего компьютера, модель, операционная система и даже версия используемого вами веб-браузера также известны каждому посещаемому вами сайту. Эти объединенные данные приводят к другому методу идентификации вас и типов информации, к которой вы получаете доступ. Посещайте только те веб-сайты, в которых у вас есть законная потребность, когда вы выполняете работу для своей организации.

Хотя персональный маршрутизатор Wi-Fi может показаться удобным, он может представлять серьезную угрозу безопасности в бизнес-среде. Вместо того, чтобы пытаться установить собственный персональный маршрутизатор Wi-Fi, спросите в службе поддержки, нужен ли вам доступ к Wi-Fi. Организации проектируют и настраивают свою беспроводную среду в соответствии с конкретными бизнес-потребностями и придерживаются политики безопасности.

Источник

Фреймворки информационной безопасности. ISO 27001 (ч.4)

НТЦ ЕВРААС продолжает цикл статей о фреймворках информационной безопасности. О видах фреймворков вы можете прочитать тут:

О фреймворке Cyber Essentials:

О фреймворке CIS 20 Controls:

Стандарт предоставляет компаниям необходимые методологии для защиты их наиболее ценной информации. Организации могут получить сертификацию по ISO 27001 и, таким образом, показать своим клиентам и партнерам, что информация, обрабатываемая компанией, находится под защитой.

1. Политики информационнои безопасности

В соответствии с требованиями бизнеса и соответствующими законодательными и нормативными требованиями, должен быть разработан и доведен до персонала комплекс политик информационнои безопасности.

2. Организация информационнои безопасности

Должны быть определены все обязанности, связанные с кибербезопасностью. Приняты меры по обеспечению защиты информации для стационарных и удаленных рабочих мест. Вопросы ИБ принимаются во внимание в управлении проектами вне зависимости от их типа.

3. Безопасность персонала

Необходимо гарантировать, что сотрудники и работающие по контракту знают и выполняют свои обязательства, связанные с информационнои безопасностью. Сотрудники соответствующим образом информированы и обучены.

4. Управление активами

Необходимо выявить все информационные активы организации, составить реестр, определить уровень значимости объектов и внедрить процедуры маркировки информации. Также, необходимо назначить ответственных по защите и определить правила использования активов (в т.ч. съемных носителей).

5. Контроль доступа

Необходимо гарантировать надлежащее использование криптографии для защиты конфиденциальности, подлинности и/или целостности информации.

7. Физическая безопасность и защита от природных угроз

Необходимо предотвратить несанкционированныи физическии доступ, повреждение и воздеиствие на информацию путем:

8. Безопасность производственнои деятельности

Требуется гарантировать надлежащую и безопасную эксплуатацию информационных активов.

9. Безопасность обмена информацией

Необходимо гарантировать защиту информации в сетях, а также при передаче внутри организации и за ее пределы.

10. Приобретение, разработка и обслуживание систем

Требования, связанные с информационнои безопасностью, должны быть включены в требования для новых информационных систем.

Информация, должна быть защищена от мошеннических деиствии, несанкционированного раскрытия, претензии, связанных с нарушениями контрактных обязательств, и несанкционированного раскрытия и изменения.

Правила для разработки программного обеспечения и систем должны быть установлены и применяться ко всем разработкам в организации.

Организация должна контролировать и вести мониторинг процесса разработки системы, переданного на аутсорсинг.

11. Отношения с поставщиками

Необходимо гарантировать защиту активов организации, которые доступны поставщикам. Поддерживать согласованныи уровень информационнои безопасности и предоставления услуги в соответствии с соглашениями с поставщиками.

12. Управление инцидентами информационнои безопасности

Требуется последовательныи и результативныи подход к управлению инцидентами информационнои безопасности, включая информирование о событиях, связанных с безопасностью, и уязвимостях.

Оповещения о событиях кибербезопасности, а также их оценка и ответные меры должны осуществляться в соответствии с заранее документированными процедурами.

13. Аспекты информационнои безопасности в менеджменте непрерывности бизнеса

Развитие информационнои безопасности должно быть встроено в систему менеджмента непрерывности бизнеса.

14. Соответствие требованиям

Необходимо избегать нарушении законодательных, нормативных или контрактных обязательств, имеющих отношение к информационнои безопасности, и любых требовании безопасности.

Гарантировать, что средства обеспечения информационнои безопасности внедрены и используются в соответствии с организационнои политикои и процедурами.

Фреймворки информационной безопасности. ФСТЭК (ч.5)

Работаем на рынке информационной безопасности с 1996 года. Эксперты «НТЦ ЕВРААС» предлагают комплексные решения в сфере кибербезопасности.

Мы проектируем системы под конкретные нужды и специфику организации, тем самым гарантируя, что система информационнои безопасности комплексно решает все задачи и обеспечивает надежную круглосуточную защиту ваших корпоративных ресурсов и данных.

Источник