Простые правила информационной безопасности
Очень-очень просто, подходит там, где ещё нет никаких правил:
- У каждого ресурса должны быть – владелец, предназначение, порядок предоставления доступа.
- По умолчанию, владельцем внутреннего ресурса, соответствующего подразделению, является руководитель подразделения.
- По умолчанию, порядок предоставления доступа к внутреннему ресурсу – через согласование с владельцем.
- По умолчанию, порядок предоставления доступа к внешнему ресурсу – через согласование с собственником и / или службой безопасности.
Чтобы это организовать, ресурсы, именование или расположение которых не соответствует какому-либо подразделению (или нет системы в этом), нужно учитывать отдельно.
Под внешним ресурсом имеется ввиду такой, куда можно выложить данные, а затем взять их, находясь за пределами организации, без подключения по VPN. В разделении на внутренние и внешние есть смысл, поскольку, обычно предоставление VPN (и, соответственно, доступа ко внутренним ресурсам извне) контролируется СБ в отдельном порядке.
Учитывая, что копирование на сменные носители, отправка по почте и возможность доступа к неподконтрольным ИТ внешним ресурсам ограничиваются отдельно, правило 3 обеспечивает, главным образом, защиту от бардака.
Владелец отвечает за:
а) использование по предназначению (на ресурсе не должны появляться документы или программы, которые там не предусматривались).
б) кому предоставить / у кого забрать доступ, где порядок предоставления доступа «через владельца».
Предназначение нужно, чтобы хотя бы понимать, что будет если мы этот ресурс потушим. Какие пользователи пострадают? Или, может быть, эта папка используется для обмена данными между какими-то программами?
Ну и последнее, за соблюдение этих правил отвечает тот, у кого находятся рычаги для создания общих папок и ресурсов — то есть, администратор. Администратор должен отвечать на вопросы «для чего это?», «кто владелец?» и «с кем надо согласовать заявку на доступ?» — это есть ответственность, прилагающаяся к праву создания и расшаривания папок.