Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)

Цель: предотвращение повреждений активов и прерываний бизнес-процессов. Использование носителей информации должно контролироваться, а также должна обеспечиваться их физическая безопасность.

Должны быть определены соответствующие процедуры защиты документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений, воровства и неправомочного доступа.

8.6.1. Использование сменных носителей компьютерной информации

Должны существовать процедуры по использованию сменных носителей компьютерной информации (лент, дисков, кассет, а также печатных отчетов). В этих случаях необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

- если носители информации многократного использования больше не требуются и передаются за пределы организации, то их содержимое должно быть уничтожено;

- в отношении всех уничтожаемых носителей информации должно быть принято соответствующее решение, а также должна быть сделана запись в регистрационном журнале, который следует хранить (8.7.2);

- все носители информации следует хранить в надежном, безопасном месте в соответствии с требованиями изготовителей.

Все процедуры авторизации должны быть четко документированы.

8.6.2. Утилизация носителей информации

Носители информации по окончании использования следует надежно и безопасно утилизировать. Важная информация может попасть в руки посторонних лиц из-за небрежной утилизации носителей данных. Чтобы свести к минимуму такой риск, должны быть установлены формализованные процедуры безопасной утилизации носителей информации. Для этого необходимо предусматривать следующие мероприятия:

а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;

б) ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация:

1) бумажные документы;

2) речевые или другие записи;

3) копировальная бумага;

4) выводимые отчеты;

5) одноразовые ленты для принтеров;

6) магнитные ленты;

7) сменные диски или кассеты;

8) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями);

9) тексты программ;

10) тестовые данные;

11) системная документация;

в) может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности;

г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и носителей информации. Следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и обеспечения необходимого уровня информационной безопасности;

д) по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита.

При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание "эффект накопления", то есть большой объем открытой информации может сделать ее более важной.

8.6.3. Процедуры обработки информации

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации (5.2), а также в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Необходимо использовать следующие мероприятия по управлению информационной безопасностью (5.2 и 8.7.2):

- обработку и маркирование всех носителей информации (8.7.2 "а");

- ограничения доступа с целью идентификации неавторизованного персонала;

- обеспечение формализованной регистрации авторизованных получателей данных;

- обеспечение уверенности в том, что данные ввода являются полными, процесс обработки завершается должным образом и имеется подтверждение вывода данных;

- обеспечение защиты информации, находящейся в буфере данных и ожидающей вывода в соответствии с важностью этой информации;

- хранение носителей информации в соответствии с требованиями изготовителей;

- сведение рассылки данных к минимуму;

- четкую маркировку всех копий данных, предлагаемых вниманию авторизованного получателя;

- регулярный пересмотр списков рассылки и списков авторизованных получателей.

8.6.4. Безопасность системной документации

Системная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации (9.1). В этих условиях с целью защиты системной документации от неавторизованного доступа необходимо применять следующие мероприятия:

- системную документацию следует хранить безопасным образом;

- список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения;

- системную документацию, полученную/поддерживаемую через общедоступную сеть, следует защищать надлежащим образом.