ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

а) силовые и телекоммуникационные линии, связывающие средства обработки информации, должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;

б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

в) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

г) дополнительные мероприятия по управлению информационной безопасностью для чувствительных или критических систем включают:

1) использование бронированных кожухов, а также закрытых помещений/ящиков в промежуточных пунктах контроля и конечных точках;

2) использование дублирующих маршрутов прокладки кабеля или альтернативных способов передачи;

3) использование оптико-волоконных линий связи;

4) проверки на подключение неавторизованных устройств к кабельной сети.

7.2.4 Техническое обслуживание оборудования

В организации должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности. В этих целях следует применять следующие мероприятия:

- оборудование следует обслуживать в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком;

- необходимо, чтобы техническое обслуживание и ремонт оборудования проводились только авторизованным персоналом;

- следует хранить записи обо всех случаях предполагаемых или фактических неисправностей и всех видах профилактического и восстановительного технического обслуживания;

- необходимо принимать соответствующие меры безопасности при отправке оборудования для технического обслуживания за пределы организации (7.2.6 в отношении удаленных, стертых и перезаписанных данных). Кроме этого должны соблюдаться все требования, устанавливаемые использующимися правилами страхования.

7.2.5 Обеспечение безопасности оборудования, используемого вне помещений организации

Независимо от принадлежности оборудования, его использование для обработки информации вне помещения организации должно быть авторизовано руководством. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях организации, а также с учетом рисков работы на стороне. Оборудование по обработке информации включает все типы персональных компьютеров, электронных записных книжек, мобильных телефонов, а также бумагу или иные материальные ценности, которые используются для работы на дому или транспортируются за пределы рабочих помещений. В этих условиях необходимо применять следующие мероприятия по управлению информационной безопасностью:

- оборудование и носители информации, взятые из помещений организации, не следует оставлять без присмотра в общедоступных местах. При перемещении компьютеры следует перевозить как ручную кладь и, по возможности, не афишировать ее содержимое;

- всегда необходимо соблюдать инструкции изготовителей по защите оборудования, например, от воздействия сильных электромагнитных полей;

- при работе дома следует применять подходящие мероприятия по управлению информационной безопасностью с учетом оценки рисков, например, использовать запираемые файл-кабинеты, соблюдать политику "чистого стола" и контролировать возможность доступа к компьютерам;

- должны иметь место адекватные меры по страхованию для защиты оборудования вне помещений организации.

Риски безопасности, например, связанные с повреждением, воровством и подслушиванием, могут в значительной степени зависеть от расположения оборудования в организации и должны учитываться при определении и выборе наиболее подходящих мероприятий по управлению информационной безопасностью. Более подробная информация о других аспектах защиты мобильного оборудования приведена в 9.8.1.