Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.

Маркировка информации

Меры и средства

Соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.

Рекомендации по реализации

Процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.

Процедуры должны указывать, где и как наносить метки с учетом видов доступа к информации или обработки активов в зависимости от типов носителя. Процедуры должны определять, когда маркировка не применяется, например, для неконфиденциальной информации, для снижения нагрузок.

Сотрудники и подрядчики должны быть осведомлены о процедурах маркировки.

Выходные данные ИС, содержащие информацию, классифицированную как чувствительную или критичную, должны иметь соответствующую классификационную метку.

Маркировка классифицированной информации является ключевым требованием для соглашений по распространению информации. Физические метки и метаданные являются общепризнаной формой маркировки.

Обработка активов

Меры и средства

Процедуры обработки активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.

Рекомендации по реализации

Процедуры должны быть установлены для обработки, хранения и передачи информации в соответствии с ее классификацией.

Необходимо рассмотреть следующие рекомендации:

— ограничения доступа в соответствии с требованиями защиты для каждого уровня классификации;

— ведение формальной записи авторизованных получателей активов;

— соответствие защиты любых копий информации уровню защиты исходной информации;

— хранение ИТ активов в соответствии с рекомендациями изготовителей;

— четкая маркировка всех копий носителей информации для авторизованного получателя.

Для каждого уровня классификации должны быть определены процедуры доступа и использования информационных активов, включающие безопасную обработку, хранение, передачу, присвоение и снятие грифа секретности, а также уничтожение. Сюда следует также отнести процедуры по обеспечению регистрации любого события, имеющего значение для ИБ, и хранению этих данных.

Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.

4.3. Безопасность носителей информации

Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.

Безопасность носителей информации обеспечивают следующие мероприятия:

— управление носителями;

— уничтожение носителей;

— транспортировка носителей.

Управление носителями

Меры и средства

Должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

— в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;

— при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;

— все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;

— если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;

— для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;

— множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;

— должна вестись регистрация носителей для уменьшения возможности потери данных;

— сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;

— там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.

Процедуры и уровни авторизации должны быть задокументированы.

Уничтожение носителей

Меры и средства

Если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.

Рекомендации по реализации