[ Pobierz całość w formacie PDF ]
.Musi istnieć proces regularnego prze-glądu i aktualizacji treści w niej zawartych.Zalecenia i procedury powinnosię udostępnić w intranecie lub przechowywać w ogólnie dostępnym kata-logu.To zwiększa prawdopodobieństwo ich częstego przeglądania, a jedno-cześnie daje wygodną metodę szukania odpowiedzi na te pytania związanez bezpieczeństwem, które szczególnie nurtują pracowników.Należy też przeprowadzać periodyczne testy penetracyjne i ocenę zagrożeńprzy użyciu metod i taktyk socjotechnicznych, aby ujawnić wszelkie słabo-ści w procesie szkolenia lub tendencję do nieprzestrzegania pewnych zaleceń.Przed zastosowaniem taktyk socjotechnicznych na potrzeby testu należy po-informować pracowników, że coś takiego może nastąpić w każdej chwili.Jak korzystać z instrukcji?Szczegółowe instrukcje zaprezentowane w tym rozdziale stanowią tykoczęść zestawu niezbędnego do zmniejszenia ryzyka związanego z wszyst-kimi typami zagrożeń.Dlatego też zawarte tu instrukcje nie powinny byćtraktowane jako wyczerpująca lista zagadnień.Stanowią one bardziej pod-stawę do zbudowania wyczerpującego zbioru zaleceń i procedur odpowiada-jącego specyficznym potrzebom naszej firmy.Twórcy instrukcji w danej firmie powinni wybrać te, które są zgodne zespecyfiką przedsiębiorstwa i jego celami.Każda organizacja, mając inne wy-mogi dotyczące kwestii bezpieczeństwa, zależne od swoich potrzeb, wyma-gań prawnych, kultury i stosowanych systemów informatycznych, zaadap-tuje część z przedstawionych tu instrukcji, a resztę odrzuci.Należy również zastanowić się, jak surowe mają być zalecenia w każdejz kategorii.Mniejsza firma, ulokowana w jednym budynku, gdzie wszyscysię znają, nie musi się zbytnio przejmować tym, że napastnik zadzwoni, po-dając się za kolegę z tej samej firmy (chociaż oszust może równie dobrze po-dać się za dostawcę).Poza tym, niezależnie od istniejących zagrożeń, organi-zacja o dość luznej i swobodnej strukturze może chcieć przejąć tylko ograni-czony zestaw zaleceń, by sprostać swoim celom w zakresie bezpieczeństwa.286 Klasyfikacja danychPolityka klasyfikacji danych stanowi fundament ochrony zasobów infor-macyjnych przedsiębiorstwa i ustala kategorie rządzące trybem udzielaniapoufnych informacji.Jest ona szkieletem systemu ochrony danych firmyi uświadamia pracownikom stopień poufności każdej z informacji.Działaniebez odgórnej klasyfikacji danych, która obecnie stanowi o zachowaniu statusquo każdej nowoczesnej organizacji, pozostawia większość decyzji w rękachindywidualnych pracowników.Naturalnie ich decyzje są oparte w większejmierze na czynnikach subiektywnych niż na stopniu poufności, wagi i war-tości informacji.Informacje wyciekają z firm również dlatego, że pracowni-cy nie są świadomi, iż osoba, która prosi ich o informację, może być napast-nikiem.Polityka klasyfikacji danych ustala reguły klasyfikacji wartościowych da-nych na kilka poziomów.Po przyporządkowaniu każdej informacji do kate-gorii, pracownik może postępować zgodnie z procedurami udostępniania da-nych, które chronią firmę przed nieumyślnym i beztroskim ujawnieniem po-ufnej informacji.Procedury te ograniczają możliwość oszukania pracownikaprzez osobę nieupoważnioną do otrzymania informacji.Każdy pracownik musi zapoznać się na szkoleniu z polityką klasyfikacjidanych; dotyczy to również osób, które zwykle nie korzystają z kompute-rów lub firmowych środków komunikacji.Ponieważ każdy członek organi-zacji, łącznie z pracownikami ekip sprzątających, ochroną budynku, obsługąpunktu ksero, a nawet konsultantami, wykonawcami prac zleconych i asy-stentami, może mieć dostęp do poufnych informacji i tym samym stać się ce-lem ataku.Kierownictwo musi wyznaczyć posiadaczy informacji odpowiedzialnychza wszystkie możliwie informacje, jakich używa firma.Posiadacz informa-cji jest odpowiedzialny między innymi za ochronę zasobów informacyjnych.Zwykle to on decyduje, do jakiego poziomu należy zakwalifikować posiada-ną przez niego informację w oparciu o stopień potrzebnej ochrony; od cza-su do czasu ponownie ocenia kategorię poufności i decyduje, czy wymaga-na jest jej zmiana.Posiadacz informacji może również delegować swoją od-powiedzialność za ochronę danych wyznaczonym osobom.287 Kategorie klasyfikacji i ich definicjeInformacje powinny być podzielone na różne poziomy w zależności odstopnia ich poufności.Po ustanowieniu określonego systemu klasyfikacjiproces ponownej klasyfikacji na nowe kategorie jest kosztowny i czasochłon-ny.W naszym przykładzie stworzone zostały cztery poziomy klasyfikacji,co jest odpowiednim rozwiązaniem dla większości średnich i dużych przed-siębiorstw.W zależności od liczby i typów poufnych informacji, firma możedodać więcej kategorii, aby bardziej szczegółowo zarządzać różnymi typamiinformacji.W mniejszych firmach trzystopniowa klasyfikacja powinna oka-zać się wystarczająca.Należy pamiętać o tym, że im bardziej skomplikowa-na klasyfikacja, tym bardziej kosztowne jest szkolenie pracowników i prze-strzeganie ustaleń.Tajne.Jest to kategoria obejmująca najbardziej poufne informacje.Tajna in-formacja jest przeznaczona tylko do użytku wewnątrz firmy.W większościprzypadków należy ją udostępniać bardzo ograniczonej liczbie osób, którymjest ona niezbędnie potrzebna.Natura informacji tajnej jest taka, że ujawnie-nie jej osobie niepowołanej może mieć poważny wpływ na firmę, jej akcjo-nariuszy, partnerów oraz klientów [ Pobierz całość w formacie PDF ]
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • centka.pev.pl
    •