а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена; б) ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация: 1) бумажные документы; 2) речевые или другие записи; 3) копировальная бумага; 4) выводимые отчеты; 5) одноразовые ленты для принтеров; 6) магнитные ленты; 7) сменные диски или кассеты; 8) оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями); 9) тексты программ; 10) тестовые данные; 11) системная документация; в) может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности; г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и носителей информации. Следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и обеспечения необходимого уровня информационной безопасности; д) по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита. При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание "эффект накопления", то есть большой объем открытой информации может сделать ее более важной. 8.6.3 Процедуры обработки информации С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации (5.2), а также в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Необходимо использовать следующие мероприятия по управлению информационной безопасностью (5.2 и 8.7.2): - обработку и маркирование всех носителей информации (8.7.2а); - ограничения доступа с целью идентификации неавторизованного персонала; - обеспечение формализованной регистрации авторизованных получателей данных; - обеспечение уверенности в том, что данные ввода являются полными, процесс обработки завершается должным образом и имеется подтверждение вывода данных; - обеспечение защиты информации, находящейся в буфере данных и ожидающей вывода в соответствии с важностью этой информации; - хранение носителей информации в соответствии с требованиями изготовителей; - сведение рассылки данных к минимуму; - четкую маркировку всех копий данных, предлагаемых вниманию авторизованного получателя; - регулярный пересмотр списков рассылки и списков авторизованных получателей. 8.6.4 Безопасность системной документации Системная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации (9.1). В этих условиях с целью защиты системной документации от неавторизованного доступа необходимо применять следующие мероприятия: - системную документацию следует хранить безопасным образом; - список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения; - системную документацию, полученную/поддерживаемую через общедоступную сеть, следует защищать надлежащим образом. Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |