Nyilvános
1. melléklet: Az információk minősítése Bevezetés A BT-n belül minden adat és információ valamely, az adott dokumentum vagy adat minősítéséért felelős BT üzlettulajdonos hatáskörébe tartozik. Az adatok és információk védelmére a velük kapcsolatba kerülő minden felhasználónak törekednie kell. A BT-információk felhasználójaként Ön köteles betartani a jelen dokumentumban foglalt biztonsági minősítési kontrollokat és a BT által meghatározott minden egyéb, a projektre vonatkozó előírást. A dokumentumot és az adatokat kizárólag a rendeltetésük szerinti célokra használhatja, és más személyek részére csak az adattulajdonos hozzájárulásával biztosíthat hozzájuk hozzáférést. Amennyiben biztonsági minősítés nélküli BT-információ kerül a birtokába, lépjen kapcsolatba a küldővel vagy BT-menedzserével a biztonsági minősítés tisztázása érdekében, vagy a 3. mellékletben foglaltakat követve a BT Biztonsági Szolgálattal. Megjegyzés: amennyiben hozzáféréssel rendelkezik a BT greenside-i helyi hálózatához (LAN) vagy BT-információkat tartalmazó BT dokumentumokat kell készítenie, kövesse a Security Policy 4 dokumentumban foglaltakat. Egyéb esetben a következőket kell alkalmazni. Az információk biztonsági minősítései Az információk a következő négy biztonsági minősítési szinthez tartozhatnak:
• • • •
Nyilvános Belső Bizalmas Szigorúan bizalmas
Nyilvános A Nyilvános információkat nem szükséges ellenőrzés alatt tartani. Ide tartoznak a nyilvános közzétételre szánt információk is. Belső A Belső információk a BT munkatársai és a BT-információs hálózathoz hozzáférő más személyek számára elérhető olyan információk, amelyek esetében ez a hozzáférés alacsony üzleti kockázattal jár a BT oldalán. Bizalmas A Bizalmas információk kizárólag egy meghatározott közönségnek szólnak: a „szükséges mérték” elvét szigorúan be kell tartani a hozzáférések kiadása során. A Bizalmasnak minősülő információk engedély nélküli közzététele káros hatással lehet a BT jó hírnevére vagy bizonyos személyekre nézve. Példák ilyen információkra:
•
A BT munkatársai, harmadik felek és ügyfelek személyes adatai;
•
Rendszernapló adatok;
•
Értékesítési és marketinggel kapcsolatos adatok;
•
Helyi üzleti tervek;
Nyilvános •
Kockázati adatok;
•
Jelszavak.
•
A jogszabályok értelmében bizalmasan kezelendő információk.
Több Bizalmas dokumentumból álló gyűjtemények Amennyiben Ön több Bizalmas dokumentumot tárol egyazon helyszínen, szükség lehet a biztonsági minősítés megemelésére. Ez az egyes dokumentumok Szigorúan bizalmas dokumentummá való átminősítését, illetve a helyszín biztosítása érdekében további biztonsági intézkedések bevezetését teheti szükségessé, amennyiben:
•
a dokumentumok együttes kiszivárgása különösen nagy kárt okozhatna a BT-nek;
•
Ezek más adatokkal kombinálva (pl. amikor a név, lakcím és/vagy több banki adat is szerepel a rendszerben) vonzó célpontok lehetnek.
Amennyiben aggálya merül fel a birtokában lévő információkkal kapcsolatban, lépjen kapcsolatba BT kapcsolattartójával. Szigorúan bizalmas A Szigorúan bizalmas információk és adatok forgalma meghatározott módon, kis példányszámban történik, és szigorúan be kell tartani velük kapcsolatban a „szükséges mérték” elvét (tisztában kell lennie vele, hogy kik rendelkeznek másolatokkal és hozzáféréssel). Az ilyen információk jogosulatlan közzététele különösen nagy kárt okozhat a BT-nek. Járjon el különös körültekintéssel a Szigorúan bizalmas információk kezelése során, és tartsa szem előtt, hogy vonatkozásukban a lehető legszigorúbb biztonsági intézkedéseket kell bevezetni.
Biztonsági kontrollok Meghatározott feltételek: Titkosítás Minimális követelmények: • Használjon AES 256 bites titkosítást. • A szimmetrikus kulcsoknak legalább 256 bit hosszúságúaknak kell lenniük. • Az aszimmetrikus kulcsoknak (pl. RSA) legalább 2048 bit hosszúságúaknak kell lenniük. • Csak ismert és megbízható rejtjelkulcsokat használjon. • Ne használjon önaláírt tanúsítványokat. Jelszó/Jelmondat (Pass Phrase) – (titkosításhoz) Nem lehet könnyen kitalálható (azaz a lehető leginkább véletlenszerűnek, valamint a felhasználói azonosítótól, a felhasználótól, a felhasználó személyazonosságától, valós dátumoktól stb. függetlennek kell lennie), és úgy kell meghatározni, hogy gyakran használt jelszavakat tartalmazó szótárak használatával ne legyen felfedhető. Minimális követelményként a jelszónak/jelmondatnak:• Legalább 8 karakterből kell állnia. • Legalább kettőt tartalmaznia kell a következők közül: o Nem alfanumerikus karakterek (pl. !, £,”, $, %,^, &,*, (,), -,_, +, =, :, ‘, @, ~, #, ?, <, >) o Decimálisok: (0... 9) o Nagybetűk: (A... Z)
Nyilvános •
A privát kulcsokat egy, a fentiek szerinti, alfanumerikus karakterekből és szimbólumokból álló jelmondattal kell védeni.
Megjegyzés: A kétségek elkerülése érdekében, amennyiben valamely ügyféllel fennálló szerződés magasabb szintű biztonsági intézkedéseket kíván meg, akkor a szerződésben megállapított követelményeket kell alkalmazni az itt lefektetett kontrollok helyett.
Biztonsági
Belső
Bizalmas
kontrollok
Szigorúan bizalmas
1.
Az adatvédelemre vonatkozó nemzeti jogszabályi háttér – Személyes és érzékeny személyes adatok
Nem kezelhetők Belső információként. Az egyes nyilvántartásokat Bizalmasként kell kezelni.
Az egyes nyilvántartásokat Bizalmasként kell kezelni.
Az összesített nyilvántartásokat Szigorúan bizalmasként kell kezelni.
2.
Üzleti dokumentumok (Word, Excel stb.) terjesztésének ellenőrzése és forgalmának nyomon követése
Nem szükséges ellenőrzés és nyomon követés. Lásson el minden oldalt „BT INTERNAL” megjelöléssel vagy, ha kizárólag az Openreach-en kerül megosztásra, „OPENREACH INTERNAL” megjelöléssel.
Lásson el minden oldalt „IN CONFIDENCE” („Bizalmas”) megjelöléssel, kövesse a „szükséges mérték” elvét, és vegye fontolóra „disztribúciós lista” használatát.
Lássa el a dokumentum minden oldalát „IN STRICTEST CONFIDENCE” („Szigorúan bizalmas”) megjelöléssel.
A fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő titkosításra van szükség.
A dokumentum tartalmazzon egy, a vonatkozó személyeket felsoroló disztribúciós listát. A tulajdonosnak gondoskodnia kell a „szükséges mérték elvének” betartásáról. Eltárolás előtt szükség van az adatok a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő szoftverrel történő titkosításra, ha a dokumentum nem a BT által rendelkezésre bocsátott, merevlemeztitkosítással
Nyilvános ellátott PC-n vagy laptopon (hanem például hordozható adathordozón) kerül tárolásra. Ugyanez vonatkozik arra az esetre, ha emailben küld ilyen dokumentumot (legyen a címzett akár a BT-hez tartozó, akár azon kívüli személy).
3.
Biztonságos tárolás laptopon és PC-n
Követelmény a biztonságos tárolás (például PGP vagy WinZip 9 segítségével).
A teljes lemez titkosításának („whole disk encryption”) meg kell felelnie a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak.
A teljes lemez titkosításának („whole disk encryption”) meg kell felelnie a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak.
4.
Biztonságos tárolás szervereken és adatbázisokban (rögzített – lemez/szalag)
Nincs szükség biztonságos tárolásra, ha minden fizikai előírásnak megfelel. Egyéb esetben biztonságos tárolás szükséges, pl. PGP vagy WinZip 9 használatával.
A BTinformációkat a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelően titkosítani kell.
A BTinformációkat a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelően titkosítani kell.
5.
Biztonságos tárolás Blackberry és Windows Mobile eszközökön, egyéb PDA-kon, tableteken (iPadeken stb.), mobiltelefonokon és MP3 lejátszókon.
Tilos Belső információkat tárolni a felsorolt eszközökön, kivéve ha az eszközt a BT biztosítja, vagy ha arra a BT biztonsági szolgálata engedélyt ad.
Tilos Bizalmas információkat tárolni a felsorolt eszközökön, kivéve ha az eszközt a BT biztosítja, vagy ha arra a BT biztonsági szolgálata engedélyt ad.
Tilos Szigorúan bizalmas információkat tárolni a felsorolt eszközökön.
A felsorolt eszközök nem állíthatók be úgy, hogy hozzáféréssel bírjanak a BT.com e-mail-fiókokhoz (a bt.com emailekhez való webmailes
A felsorolt eszközök nem állíthatók be úgy, hogy hozzáféréssel bírjanak a BT.com e-mail-fiókokhoz (a bt.com emailekhez való webmailes
Nyilvános
6.
Biztonságos tárolás: Hordozható adathordozókon, például memóriakártyán, flash memórián, CD-n, DVD-n, USBmeghajtón, biztonságos digitális kártyán, floppy lemezen és más hasonló eszközökön.
hozzáférés megengedett).
hozzáférés megengedett).
Ilyen eszközökön való tárolás esetén a BTinformációkat a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelően titkosítani kell.
Ilyen eszközökön való tárolás esetén a BTinformációkat a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelően titkosítani kell.
Tilos Szigorúan bizalmas információkat tárolni a felsorolt eszközökön.
7.
Webes/online tárolás vagy bármely egyéb internetes tárolási szolgáltatás
Tilos
Tilos
Tilos
8.
Külső webes együttműködés
Bármely MS LiveMeeting platform vagy Webjoin
Tilos
Tilos
9.
Küldés e-mailben
Nincs szükség titkosításra.
Nem bt.com email-címekre történő üzenetküldés esetén a fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő titkosítás szükséges.
A fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő titkosításra van szükség.
10 .
Automatikusan továbbított emailek
Tilos
Tilos
Tilos
11 .
Hálózati továbbítás
Nincs szükség titkosításra.
A fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő titkosítás külső és belső továbbítás esetén.
A fenti „Titkosítás” és „Jelszó/Jelmondat ” pontokban foglaltaknak megfelelő titkosítás külső és belső továbbítás esetén.
12 .
Fájlátvitel
Biztonságos fájlátvitellel, pl. SFTP, XFB.
Biztonságos fájlátvitellel, pl. SFTP, XFB.
Biztonságos fájlátvitellel, pl. SFTP, XFB.
Nyilvános 13
Adatok törlése
Használjon az alkalmazások vagy operációs rendszerek törléséhez megfelelő eszközöket.
Szilárdtesteszközö k (SSD-k) használata esetén az adatok megtisztítása érdekében minden szektort legalább egyszer írjon felül véletlenszerű bináris karakterláncokkal valamely szoftver segítségével (pl. Blanco HMG Edition vagy Blanco Version 5).
Szilárdtesteszközö k (SSD-k) használata esetén az adatok megtisztítása érdekében minden szektort legalább egyszer írjon felül véletlenszerű bináris karakterláncokkal valamely szoftver segítségével (pl. Blanco HMG Edition vagy Blanco Version 5).
BT-információkat tartalmazó informatikai eszközök selejtezése és újrahasznosítása
Használjon olyan ellenőrizhető, kipróbált szoftvertörlési eljárást, amely hivatalos tanúsítványt állít ki a törlés tényéről. A nem megtisztítható eszközöket meg kell semmisíteni, és egy, legalább az eszköz sorozatszámát tartalmazó hivatalos tanúsítványt kell kiállítani vagy beszerezni az eszköz megsemmisítésén ek igazolására.
A lemezek (vagy egyéb adattárolók, ideértve nem kizárólagosan a kompakt flash meghajtókat és az SSD-ket) megtisztítása érdekében minden szektort legalább egyszer felül kell írni véletlenszerű bináris karakterláncokkal valamely szoftver segítségével (pl. Blanco HMG Edition vagy Blanco Version 5).
A lemezek (vagy egyéb adattárolók, ideértve nem kizárólagosan a kompakt flash meghajtókat és az SSD-ket) megtisztítása érdekében minden szektort legalább egyszer felül kell írni véletlenszerű bináris karakterláncokkal valamely szoftver segítségével (pl. Blanco HMG Edition vagy Blanco Version 5).
Amennyiben nem lehetséges vagy nem megfelelő a tisztítás, a lemezt (vagy egyéb adattárolót, ideértve nem kizárólagosan a kompakt flash meghajtókat és az SSD-ket) meg kell semmisíteni lemezmegsemmisí tő eszköz használatával.
Amennyiben nem lehetséges vagy nem megfelelő a tisztítás, a lemezt (vagy egyéb adattárolót, ideértve nem kizárólagosan a kompakt flash meghajtókat és az SSD-ket) meg kell semmisíteni lemezmegsemmisí tő eszköz használatával.
A törlés vagy megsemmisítés tényéről tanúsítványt kell kiállítani.
A törlés vagy megsemmisítés tényéről tanúsítványt kell kiállítani.
.
14 .
Ideérve nem kizárólagosan: - Az egyes alkatrészek leselejtezését - A Szállító eszközeinek megsemmisítését - A biztonsági mentések megsemmisítésév el kapcsolatos előírásokat - A gyártónak javításra visszaküldött szerveralkatrészek et
A fenti módszer nem alkalmazható szilárdtesteszközö k (SSD-k) esetében; azokat meg kell semmisíteni, és erről hivatalos tanúsítványt kell kiállítani vagy beszerezni. Erről további információt a BS EN 17513 dokumentumban talál.
Nyilvános 15
Nyomtatás
.
Használjon a PChez csatlakoztatott nyomtatót, vagy legyen jelen, amíg a hálózati nyomtatón lezajlik a nyomtatás.
Használjon PINkód vezérelt nyomtatót, a PChez csatlakoztatott nyomtatót vagy ellenőrzött hozzáférési teremben működő nyomtatót.
Használjon PINkód vezérelt nyomtatót, a PChez csatlakoztatott nyomtatót vagy ellenőrzött hozzáférési teremben működő nyomtatót.
Ellenőrizze, hogy melyik nyomtatón történik a nyomtatás, és ne hagyjon dokumentumokat a nyomtatótálcán.
Legyen körültekintő, amikor nyomtat. Ellenőrizze, hogy melyik nyomtatón történik a nyomtatás, és ne hagyjon dokumentumokat a nyomtatótálcán.
Egyetlen boríték.
.
Postai szolgáltatások és futárszolgálat igénybevétele a BT és a Szállító között
Használjon dupla borítékot, és a küldeményt ajánlottan adja fel. Az első borítékon ne tüntesse fel az „In confidence” („Bizalmas”) megjelölést.
Használjon dupla borítékot, és a küldeményt ajánlottan adja fel. Az első borítékon ne tüntesse fel az „In strictest confidence” („Szigorúan bizalmas”) megjelölést.
17
Adatok feltárása külső felek részére
Kérje a BT biztonsági kapcsolattartó engedélyét. Használja a 3. mellékletet.
Kérje a BT biztonsági kapcsolattartó engedélyét. Használja a 3. mellékletet.
Kérje a BT biztonsági kapcsolattartó engedélyét. Használja a 3. mellékletet.
Az oktatás, fejlesztés vagy tesztelés során használt anyagok
A BT-nek az ilyen anyagokat anonimizálnia kell, és azoknak meg kell felelniük a BT BP001 megjelölési adatanonimizálási legjobb gyakorlatról szóló útmutatójának.
A BT-nek az ilyen anyagokat anonimizálnia kell, és azoknak meg kell felelniük a BT BP001 megjelölési adatanonimizálási legjobb gyakorlatról szóló útmutatójának.
Tilos
Papírok megsemmisítése
Iratmegsemmisítő segítségével kell megsemmisíteni.
Iratmegsemmisítő segítségével kell megsemmisíteni.
4 x 15 mm-esre állított iratmegsemmisítő segítségével kell megsemmisíteni.
16
.
18 .
19 .
Nyilvános 20 .
Nyilvános helyek
Ne beszéljen Belső információkról nyilvános helyen.
Ne beszéljen Bizalmas információkról nyilvános helyen. Ne dolgozzon a dokumentumokon olyan nyilvános helyen, ahol azokba beleláthatnak.
Ne beszéljen Szigorúan bizalmas információkról nyilvános helyen. Ne dolgozzon a dokumentumokon nyilvános helyen.
