ГОСТ Р ИСО МЭК 17799 (1027767), страница 8
Текст из файла (страница 8)
Кроме этого должны соблюдаться все требования, устанавливаемые использующимися правилами страхования.7.2.5 Обеспечение безопасности оборудования, используемого вне помещений организацииНезависимо от принадлежности оборудования, его использование для обработки информации внепомещения организации должно быть авторизовано руководством. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях организации, а также с учетом рисков работы на стороне.Оборудование по обработке информации включает все типы персональных компьютеров, электронныхзаписных книжек, мобильных телефонов, а также бумагу или иные материальные ценности, которыеиспользуются для работы на дому или транспортируются за пределы рабочих помещений, В этих условиях необходимо применять следующие мероприятия по управлению информационной безопасностью:- оборудование и носители информации, взятые из помещений организации, не следует оставлятьбез присмотра в общедоступных местах.
При перемещении компьютеры следует перевозить как ручнуюкладь и, по возможности, не афишировать ее содержимое;- всегда необходимо соблюдать инструкции изготовителей по защите оборудования, например, отвоздействия сильных электромагнитных полей;- при работе дома следует применять подходящие мероприятия по управлению информационнойбезопасностью с учетом оценки рисков, например, использовать запираемые файл-кабинеты, соблюдать политику «чистого стола» и контролировать возможность доступа к компьютерам;15- должны иметь место адекватные меры по страхованию для защиты оборудования вне помещений организации.Риски безопасности, например, связанные с повреждением, воровством и подслушиванием, могутв значительной степени зависеть от расположения оборудования в организации и должны учитыватьсяпри определении и выборе наиболее подходящих мероприятий по управлению информационной безопасностью.
Более подробная информация о других аспектах защиты мобильного оборудованияприведена в 9.8.1.7.2.6 Безопасная утилизация (списание) или повторное использование оборудованияСлужебная информация может быть скомпрометирована вследствие небрежной утилизации (списания) или повторного использования оборудования (8.6.4). Носители данных, содержащие важнуюинформацию, необходимо физически разрушать или перезаписывать безопасным образом, а неиспользовать стандартные функции удаления.
Все компоненты оборудования, содержащего носителиданных (встроенные жесткие диски), следует проверять на предмет удаления всех важных данных илицензионного программного обеспечения. В отношении носителей данных, содержащих важнуюинформацию, может потребоваться оценка рисков с целью определения целесообразности ихразрушения, восстановления или выбраковки.7.3 Общие мероприятия по управлению информационной безопасностьюЦель: предотвращение компрометации или кражи информации и средств обработки информации.Информацию и средства обработки информации необходимо защищать от раскрытия, кражи илимодификации неавторизованными лицами; должны быть внедрены меры, обеспечивающие сведение кминимуму риска их потери или повреждения.Процедуры обработки и хранения информации рассматриваются в 8.6.3.7.3.1 Политика «чистого стола» и «чистого экрана»Организациям следует применять политику «чистого стола» в отношении бумажных документов исменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информациикак во время рабочего дня, так и при внеурочной работе.
При применении этих политик следует учитывать категории информации с точки зрения безопасности (5.2) и соответствующие риски, а также корпоративную культуру организации.Носители информации, оставленные на столах, также могут быть повреждены или разрушены прибедствии, например, при пожаре, наводнении или взрыве,Следует применять следующие мероприятия по управлению информационной безопасностью:- чтобы исключить компрометацию информации, целесообразно бумажные и электронные носители информации, когда они не используются, хранить в надлежащих запирающихся шкафах и/или в других защищенных предметах мебели, особенно в нерабочее время;- носители с важной или критичной служебной информацией, когда они не требуются, следует убирать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует;- персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены поокончании работы; следует также применять кодовые замки, пароли или другие мероприятия в отношении устройств, находящихся без присмотра;- необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;- в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать отнеавторизованного использования другим способом);- напечатанные документы с важной или конфиденциальной информацией необходимо изыматьиз принтеров немедленно.7.3.2 Вынос имуществаОборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.
Там, где необходимо и уместно, оборудование следует регистрировать при выносе и при вносе, а также делать отметку, когда оно возвращено, Сцелью выявления неавторизованных перемещений активов и оборудования следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могутиметь место.168 Управление передачей данных и операционной деятельностью8.1 Операционные процедуры и обязанностиЦель: обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации.Должны быть установлены обязанности и процедуры по управлению и функционированию всехсредств обработки информации, Они должны включать разработку соответствующих операционныхинструкций и процедуры реагирования на инциденты.С целью минимизации риска при неправильном использовании систем вследствие небрежностиили злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).8.1.1 Документальное оформление операционных процедурОперационные процедуры, определяемые политикой безопасности, должны рассматриваться какофициальные документы, документироваться и строго соблюдаться, а изменения к ним должны санкционироваться и утверждаться руководством.Процедуры содержат детальную инструкцию выполнения конкретного задания (работы) и включают:- обработку и управление информацией;- определение требований в отношении графика выполнения заданий, включающих взаимосвязимежду системами; время начала выполнения самого раннего задания и время завершения самогопоследнего задания;-обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течениевыполнения заданий, включая ограничения на использование системных утилит (9.5.5);- необходимые контакты на случай неожиданных операционных или технических проблем;-специальные мероприятия по управлению выводом данных, например, использование специальной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденциальной информации, включая процедуры для безопасной утилизации выходных данных, незавершенных в процессе выполнения заданий;- перезапуск системы и процедуры восстановления в случае системных сбоев.Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования,обеспечения надлежащей безопасности помещений с компьютерным и коммуникационнымоборудованием.8.1.2 Контроль измененийИзменения конфигурации в средствах и системах обработки информации должны контролироваться надлежащим образом.
Неадекватный контроль изменений средств и систем обработки информации — распространенная причина системных сбоев и инцидентов нарушения информационнойбезопасности, С целью обеспечения надлежащего контроля всех изменений в оборудовании, программном обеспечении или процедурах должны быть определены и внедрены формализованные роли,ответственности и процедуры. При изменении программного обеспечения вся необходимая информация должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной среды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл,процедуры управления изменениями в операционной среде и в приложениях должны бытьинтегрированы (см. также 10.5.1).
В частности, необходимо рассматривать следующие мероприятия:- определение и регистрация существенных изменений;- оценка возможных последствий таких изменений;- формализованная процедура утверждения предлагаемых изменений;- подробное информирование об изменениях всех заинтересованных лиц;- процедуры, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации, в случае неудачных изменений программного обеспечения.8.1.3 Процедуры в отношении инцидентов нарушения информационной безопасностиОбязанности и процедуры по управлению в отношении инцидентов должны быть определены дляобеспечения быстрой, эффективной и организованной реакции на эти нарушения информационнойбезопасности (6.3.1).
При этом необходимо рассмотреть следующие мероприятия:а) должны быть определены процедуры в отношении всех возможных типов инцидентовнарушения информационной безопасности, в том числе:1) сбои информационных систем и утрата сервисов;2) отказ в обслуживании;173) ошибки вследствие неполных или неточных данных;4) нарушения конфиденциальности;б) в дополнение к обычным планам обеспечения непрерывности (предназначенных для скорейшего восстановления систем или услуг) должны существовать процедуры выполнения требований(6.3.4):1) анализа и идентификации причины инцидента;2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов,при необходимости;3) использования журналов аудита и аналогичных свидетельств;4) взаимодействия с лицами, на которых инцидент оказал воздействие или участвующих вустранении последствий инцидента;5) информирования о действиях соответствующих должностных лиц;в) журналы аудита и аналогичные свидетельства должны быть собраны (12,1.7) и защищенысоответствующим образом с целью:1) внутреннего анализа проблемы;2) использования как доказательство в отношении возможного нарушения условий контракта,нарушения требований законодательства или, в случае гражданских или уголовных судебныхразбирательств, касающихся, например, защиты персональных данных или неправомочногоиспользования компьютеров;3) ведения переговоров относительно компенсации ущерба с поставщиками программногообеспечения и услуг;г) действия по устранению сбоев систем и ликвидации последствий инцидентов нарушенияинформационной безопасности должны быть под тщательным и формализованным контролем.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
