ГОСТ Р ИСО МЭК 17799 (1027767), страница 11
Текст из файла (страница 11)
Для этого необходимо предусматривать следующиемероприятия:а) носители, содержащие важную информацию, следует хранить и утилизировать надежно ибезопасно (например, посредством сжигания/измельчения). Если носители планируется использоватьв пределах организации для других задач, то информация на них должна быть уничтожена;б) ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация:1) бумажные документы;2) речевые или другие записи;3) копировальная бумага;4) выводимые отчеты;5) одноразовые ленты для принтеров;6) магнитные ленты;7) сменные диски или кассеты;8) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями);9) тексты программ;10) тестовые данные;11) системная документация;в) может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности;г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования иносителей информации.
Следует тщательно выбирать подходящего подрядчика с учетом имеющегося унего опыта и обеспечения необходимого уровня информационной безопасности;д) по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита.При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание «эффект накопления», то есть большой объем открытой информации может сделать ее более важной.8.6.3 Процедуры обработки информацииС целью обеспечения защиты информации от неавторизованного раскрытия или неправильногоиспользования необходимо определить процедуры обработки и хранения информации.
Эти процедурыдолжны быть разработаны с учетом категорирования информации (5.2), а также в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, рече23вой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых другихважных объектов, например, бланков, чеков и счетов. Необходимо использовать следующие мероприятия по управлению информационной безопасностью (5.2 и 8.7.2):- обработку и маркирование всех носителей информации (8,7.2а);- ограничения доступа с целью идентификации неавторизованного персонала;- обеспечение формализованной регистрации авторизованных получателей данных;- обеспечение уверенности в том, что данные ввода являются полными, процесс обработки завершается должным образом и имеется подтверждение вывода данных;- обеспечение защиты информации, находящейся в буфере данных и ожидающей вывода в соответствии с важностью этой информации;- хранение носителей информации в соответствии с требованиями изготовителей;- сведение рассылки данных к минимуму;- четкую маркировку всех копий данных, предлагаемых вниманию авторизованного получателя;- регулярный пересмотр списков рассылки и списков авторизованных получателей.8.6.4 Безопасность системной документацииСистемная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации (9.1).В этих условиях с целью защиты системной документации от неавторизованного доступа необходимоприменять следующие мероприятия:- системную документацию следует хранить безопасным образом;- список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения;- системную документацию, полученную/поддерживаемую через общедоступную сеть, следуетзащищать надлежащим образом.8.7 Обмен информацией и программным обеспечениемЦель: предотвращение потери, модификации или неправильного использования информациипри обмене ею между организациями.Обмен информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству (раздел 12).Обмен информацией должен происходить на основе соглашений между организациями.
Необходимо определить процедуры и мероприятия по защите информации и носителей при передаче. Необходимо учитывать последствия для деятельности и безопасности организации, связанные с электроннымобменом данных, электронной торговлей и электронной почтой, а также требования к мероприятиям поуправлению информационной безопасностью.8.7.1 Соглашения по обмену информацией и программным обеспечениемПорядок обмена информацией и программным обеспечением (как электронным способом, так ивручную) между организациями, включая передачу на хранение исходных текстов программ третьейстороне, должен быть строго формализован и документирован.
Требования безопасности в подобныхсоглашениях должны учитывать степень важности информации, являющейся предметом обмена. Необходимо, чтобы требования безопасности в подобных соглашениях учитывали:- обязанности руководства по контролю и уведомлению о передаче, отправке и получении информации;- процедуры для уведомления отправителя о передаче, отправке и получении информации;- минимальные технические требования по формированию и передаче пакетов данных;- требования к курьерской службе;- ответственность и обязательства в случае потери данных;- использование согласованной системы маркировки для важной или критичной информации,обеспечивающей уверенность в том, что значение этой маркировки будет сразу же понятно и информация будет соответственно защищена;- определение владельцев информации и программного обеспечения, а также обязанностей позащите данных, учет авторских прав на программное обеспечение и аналогичных вопросов (12.1.2 и12.1.4);- технические требования в отношении записи и считывания информации и программного обеспечения;24- любые специальные средства контроля, которые могут потребоваться для защиты важных объектов, например криптографические ключи (10.3.5).8.7.2 Безопасность носителей информации при пересылкеИнформация может быть искажена или скомпрометирована вследствие неавторизованного доступа, неправильного использования или искажения во время физической транспортировки, например, припересылке носителей информации по почте или через курьера.
Для защиты информации, передаваемоймежду организациями, необходимо применять следующие меры:а) следует использовать надежных перевозчиков или курьеров, Список авторизованныхкурьеров необходимо согласовывать с руководством, кроме того, следует внедрить процедуру проверкиидентификации курьеров;б) упаковка должна быть достаточной для защиты содержимого от любого физическогоповреждения, которое может иметь место при транспортировке, и соответствовать требованиям изготовителей носителей информации;в) специальные средства контроля следует применять, при необходимости, для защиты важной информации от неавторизованного раскрытия или модификации. Например:1) использование запертых контейнеров;2) личную доставку;3) использование упаковки, которую нельзя нарушить незаметно (на которой видна любаяпопытка вскрытия);4) в исключительных случаях, разбивку отправления на несколько частей, пересылаемых различными маршрутами;5) использование цифровых подписей и шифрования для обеспечения конфиденциальности(10.3).8.7.3 Безопасность электронной торговлиВ электронной торговле могут использоваться различные способы обмена данными, например, вэлектронном виде (EDI), через электронную почту и транзакции в режиме он-лайн через общедоступныесети, в частности, Интернет, Электронная торговля подвержена ряду сетевых угроз, которые могут привести к краже, оспариванию контрактов, а также раскрытию или модификации информации.
Чтобы защитить электронную торговлю от таких угроз, необходимо применять соответствующие мероприятия поуправлению информационной безопасностью. Для обеспечения безопасности электронной торговлинеобходимо проанализировать степень достоверности и обоснованности предлагаемых поставщикамимер обеспечения информационной безопасности:- аутентификация. С какой степенью клиенту и продавцу следует проверять идентификацию другдруга?- авторизация. Кто уполномочен устанавливать цены, подготавливать или подписывать ключевыекоммерческие документы? Каким образом об этом может быть проинформирован торговый партнер?- процессы в отношении контрактов и тендеров. Какие требования существуют в отношении конфиденциальности, целостности, подтверждения отправки и получения ключевых документов, а также вневозможности отказа от совершенных сделок?- информация о ценах. Насколько можно доверять рекламе прайс-листов и конфиденциальности вотношении существенных скидок?-обработка заказов.
Как обеспечиваются конфиденциальность и целостность деталей заказа,условий оплаты и адреса поставки, а также подтверждение при его получении?- контрольные проверки. Какая степень контроля является достаточной, чтобы проверить информацию об оплате, представленную клиентом?- расчеты. Какая форма оплаты является наиболее защищенной от мошенничества?- оформление заказов.
Какая требуется защита, чтобы обеспечить конфиденциальность и целостность информации о заказах, а также избежать потери или дублирования сделок?- ответственность. Кто несет ответственность за риск любых мошеннических сделок?Многие из вышеупомянутых проблем могут быть решены с использованием криптографическихметодов, изложенных в 10.3, при этом необходимо обеспечивать соответствие требованиям законодательства (12.1, 12.1.6 относительно законодательства в области криптозащиты).Соглашения между партнерами в области электронной торговли следует сопровождать документально оформленными договорами, которые устанавливают и документально оформляют между сторонами условия заключения сделок, включая детали авторизации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
