ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;

б) ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация:

1) бумажные документы;

2) речевые или другие записи;

3) копировальная бумага;

4) выводимые отчеты;

5) одноразовые ленты для принтеров;

6) магнитные ленты;

7) сменные диски или кассеты;

8) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями);

9) тексты программ;

10) тестовые данные;

11) системная документация;

в) может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности;

г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и носителей информации. Следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и обеспечения необходимого уровня информационной безопасности;

д) по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита.

При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание "эффект накопления", то есть большой объем открытой информации может сделать ее более важной.

8.6.3 Процедуры обработки информации

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации (5.2), а также в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Необходимо использовать следующие мероприятия по управлению информационной безопасностью (5.2 и 8.7.2):

- обработку и маркирование всех носителей информации (8.7.2а);

- ограничения доступа с целью идентификации неавторизованного персонала;

- обеспечение формализованной регистрации авторизованных получателей данных;

- обеспечение уверенности в том, что данные ввода являются полными, процесс обработки завершается должным образом и имеется подтверждение вывода данных;

- обеспечение защиты информации, находящейся в буфере данных и ожидающей вывода в соответствии с важностью этой информации;

- хранение носителей информации в соответствии с требованиями изготовителей;

- сведение рассылки данных к минимуму;

- четкую маркировку всех копий данных, предлагаемых вниманию авторизованного получателя;

- регулярный пересмотр списков рассылки и списков авторизованных получателей.

8.6.4 Безопасность системной документации

Системная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации (9.1). В этих условиях с целью защиты системной документации от неавторизованного доступа необходимо применять следующие мероприятия:

- системную документацию следует хранить безопасным образом;

- список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения;

- системную документацию, полученную/поддерживаемую через общедоступную сеть, следует защищать надлежащим образом.