Політика цифрової безпеки – це документ із описом технологій та посадових обов’язків і практик, які організація використовує, щоб зменшити свої цифрові ризики.
У громадських організаціях політика цифрової безпеки з’являється найчастіше з двох причин. Перша – на вимогу донора, коли в межах організаційного розвитку грантодавці вимагають, щоб в організації була низка формальних політик (антикорупційна, гендерна тощо).
Зазвичай у цьому випадку організація знаходить шаблон такого документу в Інтернеті, затверджує і ховає в шухляду, в реальній роботі така політика не використовується.
Друга причина – це реальне бажання організації захиститися від цифрових загроз, яке часто виникає після безпекового інциденту (наприклад, комусь зламали пошту або сайт постраждав від DDoS). Іноді в цьому випадку дістають з шухляди донорську політику і пробують її впроваджувати.
Проблема в тому, що політика “для донорів” переважно не може бути ефективною політикою “для захисту” з кількох причин.
- така політика дуже часто є надмірною, деякі правила не відповідають моделі ризиків організації, а отже будуть ігноруватися працівниками.
Наприклад, в політиці є норма “завжди використовуємо Tor браузер”, при цьому розкриття анонімності не входить до реальних ризиків організації (якими є, скажімо, злам пошти чи недоступність сайту через DDoS).
Безпека – це завжди компроміс між захищеністю та зручністю. Коли ми налаштовуємо той чи інший безпековий контроль (скажімо, пароль на вхід в обліковий запис у Windows), ми завжди зменшуємо зручність використання того чи іншого активу. Якщо працівники організації не розуміють, який ризик покликані вирішувати ті чи інші обмеження, вони зазвичай їх ігноруватимуть або шукатимуть способи обійти.
- політика безпеки часто формулюється безособово.
Скажімо: “паролі повинні бути довжиною не менше 16 символів, містити великі та малі літери, цифри та спецсимволи”. Яких саме паролів стосуються ці обмеження? Облікові записи на пристроях, робочі пошти, соцмережі, інтернет-магазини канцтоварів? Що робити, якщо в організації немає корпоративної пошти, і працівники використовують особисті скриньки? Як можна контролювати дотримання цієї політики? Яким чином доносити цю вимогу до нових людей, що приходять працювати в організацію?
У безпеці завжди є три компоненти: люди, процеси та технології, і якщо у політиці описувати лише технологічну частину, вона не буде працювати. Наведений вище пункт можна переформулювати, наприклад, так: “Коли нова людина приходить в організацію, системний адміністратор налаштовує їй робочий комп’ютер, створює обліковий запис корпоративної пошти та роз’яснює політику безпеки щодо паролів та захисту облікових записів в цілому”.
- політика не допомагає захистити найбільш ризикові активи організації.
Наприклад, найбільш цінним активом організації є сайт із новинами, при цьому політика безпеки зосереджується на налаштуваннях комп’ютерів, пошт та соцмереж працівників, не описуючи, хто є веб-адміністратором сайту, хто відповідає за його технічне оновлення, у кого зберігаються доступи до панелі домену та хостингу, як часто і куди робляться бекапи, хто створює та деактивовує облікові записи на сайті тощо. Написання політики безпеки найпродуктивніше починати з оцінки ризиків в організації, а насамперед із переліку активів, які організація хоче захищати.
Для розробки власної політики можна скористатись наведеним нижче зразком. Він не є шаблоном, а радше переліком запитань, на які організація має дати відповіді (і деякі з них потребуватимуть тривалої внутрішньої дискусії). Жоден із блоків не є обов’язковим для всіх без винятку організацій, ви можете довільно міняти їх порядок, викидати існуючі та додавати свої. У результаті ви отримаєте базовий документ із описом ваших цифрових активів, як ви їх захищаєте, а також хто і коли повинен робити для цього конкретні дії.
Важливо розуміти, що документ, який ви отримаєте в результаті, не має бути доступний усім працівникам. Очевидно, що повна версія має зберігатися у керівництва організації та системного адміністратора, однак для більшості працівників інформація про налаштування офісної локальної мережі буде зайвою.
Найкращий спосіб перевірити, чи є ефективною отримана політика безпеки, це почекати півроку-рік і оцінити (самостійно чи із залученням консультантів), чи вона реально виконується. Якщо ні, варто оцінити, наскільки доречними є ті частини, які так і не вдалося впровадити та чи варто їх прибрати?
Перелік запитань для формування політики цифрової безпеки організації
Сайт
- На кого зареєстровані домен та хостинг?
- Хто в організації зберігає інформацію щодо сайту (доступи в панель домену, хостингу тощо)?
- Чи є в когось резервна копія цієї інформації?
- Хто і коли платить за домен і хостинг?
- Хто займається підтримкою сайту?
- Що конкретно робить ця людина чи компанія?
- Чи робляться резервні копії сайту, як часто, де зберігаються?
- Хто відповідає за те, щоб TLS сертифікат на сайті вчасно оновлювався?
- Чи потрібен сайту захист від DDoS атак?
- Наскільки масштабних?
- Якщо так, як цей захист реалізовано?
- Хто стежить за тим, щоб створювати новим працівникам облікові записи і деактивовувати старих в адмінпанелі?
- До кого звертаєтесь, якщо щось сталося з сайтом? Хто звертається, якими каналами зв’язку?
Комп’ютери
- Чи видає організація робочі комп’ютери?
- Хто налаштовує комп’ютери працівників?
- Якщо працівники також працюють з особистих комп’ютерів, хто їх налаштовує?
- Як налаштовує, чи є чек-ліст?
Якщо чек-ліста немає, але хочемо сформувати, слід відповісти на додаткові запитання:
- чи є в організації ліцензійне програмне забезпечення (наприклад, отримане через TechSoup)?
- в якому стані комп’ютери, чи на всіх зможуть працювати підтримувані версії операційних систем і ПО?
- чи боїтеся вилучень?
- чи є комп’ютери, які використовуються для спільної роботи, на яких працюють волонтери тощо?
- чи є працівники, яким потрібні специфічні програми? (дизайнерські, бухгалтерські тощо)
Облікові записи пошти і соцмереж
Основна частина працівників
- Є корпоративна пошта, чи працівники використовують особисті скриньки?
- Чи потрібна корпоративна пошта? Якщо так – хто її адмініструє?
- Якщо використовуються особисті облікові записи, хто їх налаштовує? Чи є чек-ліст налаштувань? Чи є облікові записи, які одночасно використовуються багатьма працівниками?
SMM
- Хто веде соцмережі?
- Якщо є SMM-менеджер, то за що він відповідає?
- Чи є стандарти налаштувань?
- Хто дає доступи новим користувачам і забирає, коли користувачі йдуть?
- Чи є вимоги до акаунтів користувачів, яким дають доступ?
Високоризиковані люди
- Чи є в організації люди, пошти та соцмережі яких треба краще захищати, бо вони займаються більш ризикованою діяльністю?
- Чи є для них окремий чек-ліст?
Переписка/месенджери
- Де відбувається робоча комунікація організації?
- Чи є стандарти налаштувань облікових записів для месенджерів, які використовуються для робочої комунікації?
- Чи є окремий робочий месенджер? Чи він треба? Якщо так, хто його налаштовуватиме і адмініструватиме?
- Чи є окремі спільні чати, в яких обговорюється дуже чутлива інформація? Чи треба для учасників цих чатів вищі стандарти безпеки
- Чи окремі працівники мають переписку із джерелами, в якій обговорюється дуже чутлива інформація? Де вона відбувається? Як ми її захищаємо?
Телефони
- Працівники користуються власними телефонами? Чи є організаційні? Хто їх налаштовує?
- Чи були інциденти із телефонами?
- Як працівник повідомляє про втрачений телефон, з якого велось робоче спілкування?
- Чи є чек-ліст налаштувань для робочих телефонів? На які облікові записи (Google та AppleID вони заведені)? Хто має до них доступ? Як вони налаштовані?
- Чи є правила налаштування особистих телефонів, щодо яких погодивились всі працівники (знають про такі правила, розуміють для чого, роблять)? Якщо ні, чи хочете запровадити такі правила? Чи готові працівники до певного рівня незручності через це?
Дані
- Чи є в організації місце, де ви зберігаєте спільні файли? (Google Диск або інша хмара, файловий сервер в офісі, розшарені папки на компах, просто зовнішній диск тощо). Якщо це хмара, чи дійсно нею всі користуються?
- Чи вистачає місця, чи думаєте кудись переїздити?
- У кого є доступи до хмари?
- Хто видає доступи новим працівникам і забирає в працівників, які звільняються?
- Якщо це офлайнове сховище, то хто і як на ньому зберігає дані?
- Чи є десь резервні копії?
- Чи є на ньому чутлива інформація?
- Чи остерігаєтесь, що його можуть винести з офісу?
Офіс
- Яке мережеве та інше “розумне” обладнання є в офісі? (роутер, інше мережеве обладнання, файлове сховище, відеокамери тощо).
- Хто його налаштовував?
- Хто оновлює?
- До кого звертаються, якщо щось виходить з ладу?
- Чи є чек-ліст для налаштувань?
- У кого є доступи (логіни й паролі, ключі) до цього обладнання?
- Чи зберігається в когось резервна копія цих доступів?
Процеси
- Чи є в організації системний адміністратор чи просто “IT людина”?
- Якщо так, на яких умовах працює, яка її сфера відповідальності? Чи це десь закріплено?
- Коли в організацію приходить нова людина, хто їй пояснює правила цифрової безпеки, налаштовує пристрої та акаунти, дає доступи?
- Хто забирає доступи, коли людина йде?
- Яка інформація зберігаться в організації (адмінські паролі, ключі шифрування, паролі до роутера)? У кого?
- Чи проходили працівники тренінг з цифрової безпеки?
- Чи вміють розпізнавати фішинг? Чи це потрібно? Якщо так, що робити, коли приходить новий працівник?