1 Namen
Politika zaupnosti informacij je namenjena za pripomoček zaposlenim pri določanju katere informacije lahko razkrijejo osebam, ki niso zaposlene v , in pri določanju stopnje zaupnosti informacij, ki ne smejo biti razkrite zunaj ustanove brez predhodne avtorizacije. V tem dokumentu pod pojem informacija razumemo katero koli informacijo na kakršnem koli mediju in v kakršnem koli sporočanju. Pojem informacija vključuje elektronske in papirne oblike informacij in tako ustno kot slikovno sporočanje informacij (npr. telefonski klici, razgovori, video konference).
Vsi zaposleni se morajo seznaniti z načini označevanja informacij in načini rokovanja z informacijami, ki so opisani v nadaljevanju. Nivoji zaupnosti informacij so ustvarjeni kot vodilo in kot uzpodbuda k uporabi zdrave pameti pri zagotavljanju varovanja zaupnih informacij. (npr. dokumenti z oznako zaupno se brez nadzora ne smejo puščati v sejnih sobah.)
2 Obseg politike
Vse informacije so razvrščene v dve glavni skupini:
• javne informacije,
• zaupne informacije.
Javne informacije so informacije, ki jih oseba s pooblastili za razvrščanje informacij označila kot javne in jih lahko posredujemo komur koli brez škode za ustanovo.
Zaupne informacije so vse informacije, ki niso bile s strani oseb s pooblastili, posebej označene kot javne. Razume se, da so nekatere zaupne informacije bolj zaupne od ostalih zaupnih informacij in jih je kot take potrebno še posebno skrbno varovati. Med posebno zaupne informacije štejemo poslovne skrivnosti, razvojne projekte in vse ostale informacije pomembne za uspeh ustanove. Med zaupne podatke, katerih razkritje ni posebno kritično in zahtevajo malo nižjo stopnjo varovanja, štejemo razne imenike zaposlenih, splošne podatke o podjetju, osebne podatke.
Podskupina zaupnih informacij so informacije posredovane s strani tretjih oseb. Tovrstne zaupne informacije so lastnina drugih podjetij in ustanov ter so jih ta podjetja zaupala naši ustanovi v skladu z dogovori o nerazkritju informacij in drugimi podobnimi dogovori in pogodbami. Med te informacije štejemo informacije o skupnih projektih in dobaviteljih. Informacije v tej skupini so razvrščene od zelo strogo zaupnih informacij do informacij o vrsti medsebojnih komunikacijskih povezav.
Od zaposlenih v ustanovi se pričakuje razumska presoja glede razvrščanja informacij in načina zagotavljanja varnosti informacij. Če zaposleni dvomi o svoji presoji naj se o tem posvetuje s svojim nadrejenim.
3 Politika
Smernice podane v nadaljevanju bolj natančno opredeljujejo kako varovati informacije glede na njihovo stopnjo zaupnosti. Zaupne informacije po posameznih stopnjah zaupnosti lahko, glede na njihovo naravo in trenutne okoliščine, zahtevajo bolj ali manj stroge ukrepe za varovanje, zato so smernice namenjene za pomoč pri odločanju.
3. 1 Majhna občutljivost
Splošne informacije o podjetju; določeni osebni podatki in tehnične informacije.
Smernice za označevanje informacij v otipljivi in elektronski obliki.
Označevanje informacij je v domeni lastnika ali skrbnika informacije. Če oznaka na informaciji ni prisotna se razume da je informacija zaupna, razen v primeru, ko ni s strani pooblaščene osebe izrecno navedeno, da je informacija javna.
Dostopnost: Zaposlen , pogodbeniki, osebe po službeni dolžnosti.
Distribucija znotraj ustanove: Interna pošta, interna elektronska pošta in ostali odobreni načini za izmenjavo podatkov.
Distribucija izven ustanove: Pošta in ostali javne ali zasebne kurirske službe, odobreni načini uporabe elektronske pošte in ostalih metod elektronske izmenjave podatkov.
Shranjevanje: Zaščititi pred vpogledom s strani nepooblaščenih oseb (brisanje belih tabel, odstranjevanje listov s prezentacijskih blokov, »čiste« pisalne mize). Upravljanje aparatov z upoštevanjem varnosti informacij (varovanje izpisov na tiskalnikih in FAX aparatih). Varovanje pred izgubo (varnostne kopije elektronskih oblik podatkov). Uporaba nadzora dostopa na nivoju posameznikov.
Odstranitev / Uničenje: Papir z zaupnimi informacijami se odlaga na za to določena in označena mesta. Elektronski podatki se brišejo z medijev na način, ki ne omogoča restavracije, oz. se mediji fizično uničijo.
3. 2 Večja občutljivost
Poslovni, finančni, tehnični in večina osebnih podatkov.
Smernice za označevanje informacij v otipljivi in elektronski obliki.
Dostop: Zaposleni in druge osebe po službeni dolžnosti, ki so podpisale dogovor o nerazkritju informacij.
Distribucija znotraj ustanove: Interna pošta, odobreni načini distribucije preko elektronske pošte in drugih načinov elektronske izmenjave podatkov.
Distribucija izven ustanove: Pošiljanje po pošti ali drugih kurirskih službah.
Elektronska distribucija: Pri odobrenih prejemnikih v okviru podjetja ni posebnih omejitev, sporočila morajo biti šifrirana ali poslana po zasebnih povezavah če gre za odobrene prejemnike izven ustanove.
Shranjevanje: Uporaba nadzora dostopa na nivoju posameznikov je zelo priporočena.
Odstranitev / Uničenje: Papir z zaupnimi informacijami se odlaga na za to določena in označena mesta. Elektronski podatki se brišejo z medijev na način, ki ne omogoča restavracije, oz. se mediji fizično uničijo.
RAZLAGA POJMOV
Ustrezni ukrepi Zmanjševanje tveganj zaradi povezanosti z zunanjimi poslovnimi subjekti. Oprema do katere imajo dostop konkurenčna podjetja in nepooblaščeno osebje mora biti varovana do te mere, da je tveganje pred razkritjem informacij, ki so shranjene na tej opremi, minimalno.
Nastavitve povezav s poslovnimi partnerji Nastavitve povezav s poslovnimi partnerji morajo omogočati, da imajo poslovni partnerji dostop vseh in izključno samo do tistih informacij, ki so predmet medsebojnega dogovora. Povezava z določenim poslovnim partnerjem obsega nastavitve aplikacije, vključno s podatkovno bazo, in nastavitve vseh omrežnih komponent, ki služijo za vzpostavitev povezave.
Direktna dostava; zahtevan podpis prejemnika Ne puščajte v predalčkih za interno pošto. Osebje interne pošte naj medij z informacijo prevzame pri pošiljatelju in naj ga osebno vroči prejemniku, ki s podpisom potrdi prejem.
Odobrene metode za elektronski prenos podatkov Obsega vse FTP in WWW odjemalce za katere nudi ustanova uporabniško podporo.
Odobreni sistemi elektronske pošte Obsega vse sisteme in odjemalce za elektronsko pošto za katere nudi služba za tehnično pomoč uporabniško podporo. V primeru, da je za izmenjavo elektronske pošte zahtevan sistem, za katerega služba za tehnično pomoč ne nudi uporabniške podpore je pred uporabo potrebno kontaktirati ustrezno službo.
Odobreni načini šifriranja podatkov Za šifriranje sporočil se uporablja DES in PGP šifrirne algoritme. DES šifriranje je na voljo v mnogih programskih paketih za katere ni potrebna posebna licenca. Za uporabo PGP je potrebna licenca. V primeru da potrebujete PGP se o razpoložljivosti licence pozanimajte pri ustrezni službi.
Sredstva informacijskega sistema Informacijska sredstva ustanove obsegajo, vendar niso omejena na vse računalnike, na njih shranjene podatke in programsko opremo, kot tudi vse informacije v papirni obliki in na nivoju oz. nad nivojem zaupnosti.
Zanesljivo branje Za zanesljivo brisanje podatkov na PC ali MAC računalnikih je potrebno uporabiti posebna programska orodja, ki podatke prepišejo z ustreznim vzorcem. Normalno brisanje podatkov na PC in MAC računalnikih ne izbriše podatkov na način, ki ne bi omogočal restavracije. Na sistemih tipa Unix je situacija podobna vendar je restavracija podatkov po brisanju bolj zahtevna.
Nadzor dostopa na nivoju posameznika Nadzor dostopa na nivoju posameznika so metode za logično zaščito dostopa do podatkovnih datotek s strani posameznikov, ki jim lastniki podatkov tega dostopa niso izrecno dovolili. Na sistemih tipa Unix se zaščita izvede s pomočjo ukaza chmod na sistemih tipa MS Windows s pomočjo varnostnih nastavitev za mape in datoteke. Na obeh vrstah sistemov se uporablja ohranjevalnike zaslona z geslom.
Nevarne
Internetne povezave Nevarne internetne povezave so vse omrežne povezave, ki izhajajo iz naprav ali potekajo po vodih, ki jih ne nadzoruje podjetje.
Šifriranje Varovanje občutljivih informacij v skladu s Politiko sprejemljivih šifrirnih metod. Ker je uporaba šifrirnih metod lahko mednaroden problem se pred uporabo šifrirnih posvetujte z ustreznimi službami.
Enkratna gesla Avtentikacija in avtorizacija dostopa iz zunanjih omrežij z enkratnimi gesli sloni na uporabi kalkulatorjev enkratnih gesel. Pomoč pri vzpostavitvi in uporabi enkratnih gesel nudi služba za tehnično pomoč uporabnikom.
Fizično
varovanje Fizično varovanje pomeni dejansko posest računalnika ali uporaba
logičnih zaščit (gesla) in fizične pritrditve računalnika na objekt, ki ga ni mogoče premikati. Če uporabljamo prenosni računalnik ga ne puščamo samega v sejnih ali hotelskih sobah ali na sedežu v letalu. Prenosni računalnik, če je le možno, shranimo v sef ali ga imamo pri sebi. V pisarni vedno uporabljamo varnostni kabel. Če ne bomo dalj časa prisotni v pisarni, prenosni računalnik zaklenemo v predal pisalne mize ali v omaro.
Zasebna
povezava Zasebna povezava, je povezava nad katero ima podjetje nadzor na celi razdalji. Primeri zasebnih povezav so najete zveze med dvema sistemoma, klicna ISDN povezava med domačo pisarno in lokalnim omrežjem podjetja, najeta zveza do lokacije poslovnega partnerja ali podjetja v postopku prevzema za bolj varno izmenjavo elektronskih podatkov.