Vodič za Program unutarnje usklađenosti
za usklađenost strateške kontrole trgovine

Informacije / Najbolje prakse za sigurnost podataka

Odgovornost je vašeg poduzeća čuvati stratešku tehnologiju i podatke. To uključuje “informacije u mirovanju” (prijenosna računala, stolna računala, elektronički uređaju za pohranu, baze podataka, itd.); “informacije u uporabi” (SharePoint, oblak, poslužitelji datoteka i aplikacija, itd.); te “informacije u pokretu” (e-mailovi, prijenos datoteka, etc.). U nastavku se nalaze primjeri najboljih praksi za sigurnost informacija:

Međunarodna putovanja s kontroliranim informacijama/podacima

  • Izlazak iz vaše zemlje s kontroliranim tehničkim podacima ili informacijama na vašem prijenosnom računalu može predstavljati kršenje strateške kontrole trgovine u vašoj zemlji. Primjena kontrola se također može odnositi na privitke i poruke u vašim elektroničkim porukama ili datotekama na tvrdom računalnom disku.
  • Vaše poduzeće treba nastojati osigurati da prijenosna računala na kojima se nalaze kontrolirani podaci posjeduju odgovarajuće licence ishođene kod nacionalnih tijela (ako je primjenjivo i ako je nužno) te da su podaci kodirani kako bi se spriječio neovlašteni prijenos.


Najbolje prakse za međunarodna putovanja

  • Pripremiti detaljne smjernice i postupke za sastanke, međunarodna putovanja, elektroničke poruke, simpozije, itd. u slučaju kada će se raspravljati o kontroliranoj tehnologiji;
  • Suzdržati se od slanja kontroliranih datoteka putem elektroničke pošte ili od ugrađivanja tehničkih podataka u sadržaj elektroničkih poruka. Preporuča se da vaše poduzeće datoteke dijeli samo putem poveznica na interne stranice sa sigurnom prijavom;
  • Ne ostavljajte elektroničke poruke ili privitke elektroničkim porukama koji sadrže kontrolirane tehničke podatke u mapi s elektroničkom poštom. Prije odlaska na put preuzimajte informacije na sigurni poslužitelj te obrišite elektroničku poštu
  • Ne preuzimajte softver na računala s kojima će se putovati u inozemstvo
  • Osigurajte da prijenos elektroničke pošte koja sadrži kontrolirane informacije bude spremljen na sigurnom poslužitelju koji se nalazi u vašoj zemlji te da je prijenos kodiran;
  • Prema potrebi, vaše bi poduzeće trebalo razmotriti mogućnost uporabe virtualne privatne mreže (VPN) za udaljeni pristup kontroliranim informacijama izvan vaše zemlje. Napomena: Na taj način možete ukloniti potrebu da se kontrolirane informacije prenose na prijenosnom računalu zaposlenika.


Elektronička pohrana kontroliranih informacija/podataka

  • Pravila pohrana kontroliranih informacija na poslužiteljima vašeg poduzeća te na uređajima za elektroničku pohranu važan je dio postupka osiguranja da će se kontrolirani podaci zaštititi od neovlaštenog pristupa. Nenamjeran pristup neovlaštenih osoba može značiti kršenje vaših nacionalnih strateških kontrola trgovine.
  • Kontrolirani strateški podaci mogu se zaštiti enkripcijom, lozinkama ili pohranom na neumreženim lokacijama.


Najbolje prakse za pohranu elektroničkih podataka

  • Ograničite pohranu podataka na osobnim računalima i zajedničkim poslužiteljima;
  • Održavajte popis računala, umreženih uređaja i uređaja za pohranu podataka koji čuvaju kontroliranu tehnologiju, navedeni uređaji bi se trebali temeljito nadzirati (npr. antivirusne provjere, uključeni vatrozid, zaključavanje sesija, šifriranje datoteka, snažne lozinke). Zatražite da vaš IT odjel postavi računala i uređaje s odgovarajućim sigurnosnim zaštitnim mjerama;
  • Opremite vaša prijenosna računala u poduzeću automatskim isključivanjem koje traži da se korisnik ponovno prijavi i unese lozinku nakon određenog vremena;
  • Osigurajte da su poslužitelji u vašem poduzeću zaštićeni lozinkom na razini mapa u direktoriju podataka;
  • Ograničite pristup osjetljivim mapama. Službenik koji je odgovoran za unutarnju usklađenost ili službenik za kontrolu tehnologije u vašem poduzeću (TCO) (ako je primjenjivo), mora uspostaviti i održavati ažurirani popis zaposlenika koji imaju pristup navedenim datotekama te ga dostaviti vašem IT odjelu;
  • Nemojte se koristiti programima za dijeljenje datoteka (npr. Microsoft SharePoint ili Box) da biste pohranili ili dijelili podatke koji sadrže kontrolirane informacije;
  • Koristite se uređajima za namjensku pohranu podataka (prijenosni tvrdi diskovi/flash diskovi, itd.);
  • Primjereno šifrirajte datoteke na prenosivim uređajima za pohranu podataka;
  • Uspostavite postupke i smjernice za uništavanje/brisanje kontroliranje tehnologije na kraju životnog ciklusa iste (npr. tvrdi diskovi, CD-i, DVD-i, flash diskovi); i
  • Razvijte postupke kiberhigijene te obučite odgovarajuće zaposlenike o tome kako slijediti mjere. Kiberhigijena može uključivati osnovne korake kao što je krpanje osjetljivih informatičkih sustava, ublažavanje poznatih prijetnji u aplikacijama te osnaživanje poslužitelja, mrežnih senzora i uređaja kako slijedi:
    • Prepoznajte sve mrežne senzore (unutarnje i vanjske mreže) i osigurajte da su pojedinačne podatkovne točke, uređaji i mreže zaštićene od kibernetičke ranjivosti.
    • Označite svaki uređaj na osnovu kritičnosti kao poslužitelj i aplikacije kritičnog, visokog, srednjeg i niskog prioriteta, ovisno o osjetljivosti i klasifikaciji podataka koji se na istima nalaze .
    • Ojačajte sve uređaje u skladu s postojećim sigurnosnim politikama i smjernicama vašeg poduzeća.
    • Primijenite upravljanje zakrpama i ranjivosti na svim relevantnim uređajima.
    • Kontinuirano pratite nove kibernetičke ranjivosti i prijetnje.
    • Poduzmite mjere podizanja svijesti na način da osigurate osposobljavanje zaposlenika na temu sigurnosti kao što je uporaba Wi-Fi mreže, politike lozinki, uporaba nepoznatih elektroničkih uređaja za pohranu (npr. USB diskovi) te da pokažete kako izbjeći neželjenu e-poštu (spam) i phising prijevare.

Traženje ICP Web-mjesto