 |
Безопасная утилизация (списание) или повторное использование оборудования
|
|
|
|
Служебная информация может быть скомпрометирована вследствие небрежной утилизации (списания) или повторного использования оборудования (8.6.4). Носители данных, содержащие важную информацию, необходимо физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления. Все компоненты оборудования, содержащего носители данных (встроенные жесткие диски), следует проверять на предмет удаления всех важных данных и лицензионного программного обеспечения. В отношении носителей данных, содержащих важную информацию, может потребоваться оценка рисков с целью определения целесообразности их разрушения, восстановления или выбраковки.
Общие мероприятия по управлению информационной безопасностью
Цель: предотвращение компрометации или кражи информации и средств обработки информации.
Информацию и средства обработки информации необходимо защищать от раскрытия, кражи или модификации неавторизованными лицами; должны быть внедрены меры, обеспечивающие сведение к минимуму риска их потери или повреждения.
Процедуры обработки и хранения информации рассматриваются в 8.6.3.
7.3.1 Политика "чистого стола" и "чистого экрана"
Организациям следует применять политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе. При применении этих политик следует учитывать категории информации с точки зрения безопасности (5.2) и соответствующие риски, а также корпоративную культуру организации.
|
|
|
Носители информации, оставленные на столах, также могут быть повреждены или разрушены при бедствии, например, при пожаре, наводнении или взрыве.
Следует применять следующие мероприятия по управлению информационной безопасностью:
- чтобы исключить компрометацию информации, целесообразно бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;
- носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует;
- персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также применять кодовые замки, пароли или другие мероприятия в отношении устройств, находящихся без присмотра;
- необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;
- в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от неавторизованного использования другим способом);
- напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно.
Вынос имущества
Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения. Там, где необходимо и уместно, оборудование следует регистрировать при выносе и при вносе, а также делать отметку, когда оно возвращено. С целью выявления неавторизованных перемещений активов и оборудования следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могут иметь место.
|
|
|
Управление передачей данных и операционной деятельностью
Операционные процедуры и обязанности
Цель: обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации.
Должны быть установлены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих операционных инструкций и процедуры реагирования на инциденты.
С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).
Документальное оформление операционных процедур
Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как официальные документы, документироваться и строго соблюдаться, а изменения к ним должны санкционироваться и утверждаться руководством.
Процедуры содержат детальную инструкцию выполнения конкретного задания (работы) и включают:
- обработку и управление информацией;
- определение требований в отношении графика выполнения заданий, включающих взаимосвязи между системами; время начала выполнения самого раннего задания и время завершения самого последнего задания;
- обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течение выполнения заданий, включая ограничения на использование системных утилит (9.5.5);
- необходимые контакты на случай неожиданных операционных или технических проблем;
- специальные мероприятия по управлению выводом данных, например, использование специальной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденциальной информации, включая процедуры для безопасной утилизации выходных данных, не завершенных в процессе выполнения заданий;
- перезапуск системы и процедуры восстановления в случае системных сбоев.
Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием.
|
|
|
Контроль изменений
Изменения конфигурации в средствах и системах обработки информации должны контролироваться надлежащим образом. Неадекватный контроль изменений средств и систем обработки информации - распространенная причина системных сбоев и инцидентов нарушения информационной безопасности. С целью обеспечения надлежащего контроля всех изменений в оборудовании, программном обеспечении или процедурах должны быть определены и внедрены формализованные роли, ответственности и процедуры. При изменении программного обеспечения вся необходимая информация должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной среды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл, процедуры управления изменениями в операционной среде и в приложениях должны быть интегрированы (см. также 10.5.1). В частности, необходимо рассматривать следующие мероприятия:
- определение и регистрация существенных изменений;
- оценка возможных последствий таких изменений;
- формализованная процедура утверждения предлагаемых изменений;
- подробное информирование об изменениях всех заинтересованных лиц;
- процедуры, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации, в случае неудачных изменений программного обеспечения.
|
|
|
