Politika Poverljivih Podataka

Korporativna politika bezbednosti kompanije Indigo Forward

U ovom dokumentu, Indigo Forward se označava kao „kompanija“.

Pregled

Poverljivi podaci su obično podaci koji imaju najveću vrednost za kompaniju. Često su poverljivi podaci vredni i drugim stranama, te samim tim nose veći rizik u odnosu na opšte poslovne podatke. Iz tih razloga, dobra je praksa definisati bezbednosne standarde koji se posebno odnose na poverljive podatke.

Svrha

Svrha ove politike je da precizira način postupanja sa poverljivim podacima. Ova politika utvrđuje standarde za korišćenje poverljivih podataka i definiše posebne bezbednosne kontrole za njihovu zaštitu.

Obim primene

Ova politika se primenjuje na sve poverljive podatke kompanije, bez obzira na njihovu lokaciju. Politika takođe obuhvata fizičke kopije podataka kompanije, kao što su štampani dokumenti, faksovi, beleške i slično.

Politika

Postupanje sa poverljivim podacima

Radi jasnoće, sledeći odeljci o skladištenju, prenosu i uništavanju poverljivih podataka preuzeti su iz Politike klasifikacije podataka.

Skladištenje

Poverljive informacije moraju biti uklonjene sa radnih stolova, ekrana računara i iz zajedničkih prostora, osim kada se aktivno koriste. Poverljive informacije treba čuvati pod ključem (ili karticom/šifrom), pri čemu ključ, kartica ili šifra moraju biti adekvatno obezbeđeni.

Prenos

Poverljivi podaci ne smeju biti:

  • prenošeni van mreže kompanije bez upotrebe snažne enkripcije;

  • ostavljani na sistemima glasovne pošte, bilo unutar ili van mreže kompanije.

Uništavanje

Poverljivi podaci moraju biti uništeni na način koji onemogućava njihovu obnovu. Važe sledeće smernice:

  • Papir/dokumenti: obavezno je sečenje unakrsnim sekačem (cross-cut).

  • Mediji za skladištenje (CD, DVD): obavezno je fizičko uništavanje.

  • Hard diskovi/sistemi/mobilni mediji za skladištenje: najmanje je potrebno izvršiti potpuno brisanje podataka (data wiping).

Samo ponovno formatiranje diska ne čini podatke neobnovljivim. Ukoliko se koristi brisanje podataka, kompanija mora primeniti najsigurnije komercijalno dostupne metode. Alternativno, moguće je fizičko uništavanje medija za skladištenje.

Korišćenje poverljivih podataka

Uspešna primena politike poverljivih podataka zavisi od toga da korisnici poznaju i poštuju standarde kompanije. Sledeća pravila se primenjuju na postupanje korisnika sa poverljivim podacima:

  • Korisnici moraju biti obavešteni o poverljivim podacima kojima im je odobren pristup. Takvi podaci moraju biti jasno označeni kao „poverljivi“.

  • Korisnici smeju pristupati poverljivim podacima isključivo radi obavljanja svojih radnih zadataka.

  • Korisnici ne smeju koristiti poverljive podatke radi lične koristi niti pomagati drugima u ostvarivanju lične koristi.

  • Korisnici su dužni da štite poverljive podatke i da ih ne otkrivaju, ne dele, ne šalju nešifrovanim imejlom, ne prikazuju, ne distribuiraju niti o njima diskutuju, osim ako je to neophodno za obavljanje posla ili je odobreno od strane nadređenog.

  • Svaka sumnja na zloupotrebu ili neovlašćeno otkrivanje poverljivih podataka mora se odmah prijaviti nadređenom.

  • Ukoliko se poverljivi podaci dele sa trećim stranama (npr. izvođačima ili dobavljačima), njihovo korišćenje mora biti regulisano ugovorom o poverljivosti ili sporazumom o neotkrivanju podataka. Za dodatna uputstva primenjuje se politika eksternog angažovanja kompanije.

Bezbednosne kontrole za poverljive podatke

Poverljivi podaci zahtevaju dodatne bezbednosne mere kako bi se obezbedio njihov integritet. Kompanija zahteva primenu sledećih smernica:

  • Snažna enkripcija: obavezna je za prenos poverljivih podataka van kompanije. Poverljivi podaci sačuvani na laptopovima ili mobilnim uređajima moraju biti šifrovani.

  • Segmentacija mreže: razdvajanje poverljivih podataka putem mrežne segmentacije se snažno preporučuje.

  • Autentifikacija: za pristup poverljivim podacima moraju se koristiti jake lozinke.

  • Fizička bezbednost: sistemi koji sadrže poverljive podatke moraju biti adekvatno fizički obezbeđeni.

  • Štampanje: prilikom štampanja poverljivih podataka, korisnik mora preduzeti sve razumne mere kako bi sprečio uvid neovlašćenih lica. Štampači za poverljive podatke moraju se nalaziti u obezbeđenim prostorijama.

  • Faks: prilikom slanja poverljivih podataka faksom, mora se koristiti naslovna strana koja jasno označava da su podaci poverljivi. Faks uređaji koji se redovno koriste za poverljive podatke moraju biti u obezbeđenim prostorijama.

  • Imejl: poverljivi podaci ne smeju se slati van kompanije bez snažne enkripcije.

  • Pošta: slanje poverljivih informacija van kompanije mora se obavljati putem servisa koji zahteva potpis prilikom prijema.

  • Razgovori: poverljive informacije treba razmatrati isključivo na ne-javnim mestima gde razgovor ne može biti prisluškivan.

Poverljivi podaci moraju biti uklonjeni iz dokumenata osim ako je njihovo uključivanje apsolutno neophodno.

Poverljivi podaci nikada ne smeju biti čuvani na uređajima koji nisu obezbeđeni od strane kompanije (npr. kućni računari).

Ako se poverljivi podaci pišu na beloj tabli ili drugom sredstvu za prezentaciju, moraju biti obrisani odmah po završetku sastanka.

Primena drugih politika

Ovaj dokument je deo sveobuhvatnog seta bezbednosnih politika kompanije. Na teme obuhvaćene ovim dokumentom mogu se primenjivati i druge politike, koje je potrebno razmotriti po potrebi.

Sprovođenje

Ovu politiku sprovodi IT sektor i/ili rukovodeći tim. Kršenja politike mogu rezultirati disciplinskim merama, uključujući suspenziju, ograničenje pristupa ili teže sankcije, uključujući raskid radnog odnosa. U slučajevima sumnje na nezakonite aktivnosti ili krađu imovine kompanije (fizičke ili intelektualne), kompanija može obavestiti nadležne organe.

Definicije

Autentifikacija
Bezbednosna metoda koja se koristi za proveru identiteta korisnika i odobravanje pristupa sistemu ili mreži.

Enkripcija
Proces kodiranja podataka pomoću algoritma tako da su nečitljivi bez odgovarajućeg ključa. Koristi se za zaštitu podataka tokom prenosa ili skladištenja.

Mobilni uređaj za skladištenje podataka
Uređaj za skladištenje podataka zasnovan na fleš memoriji, često nazivan USB memorija, fleš disk ili „thumb drive“.

Dvofaktorska autentifikacija
Metod autentifikacije koji koristi dva faktora: nešto što korisnik poseduje i nešto što korisnik zna, na primer pametna kartica, token ili biometrijski podatak u kombinaciji sa lozinkom.