Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

Формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности этой информации.

Необходимо рассмотреть следующие рекомендации:

— носители, содержащие конфиденциальную информацию, должны храниться и уничтожаться надежно, например, путем сжигания и измельчения или стирания данных для другого применения внутри организации;

— должны существовать процедуры по выявлению носителей, которые необходимо уничтожить;

— проще принять меры по сбору и уничтожению всех носителей информации, чем выявлять носители с чувствительной информацией;

— многие организации предлагают сбор и сервисы уничтожения носителей, среди них надо выбрать ту, которая имеет адекватные меры защиты и квалификацию;

— уничтожение чувствительной информации должно регистрироваться, а запись храниться для аудита.

При сборе носителей для уничтожения необходимо учитывать эффект «перехода количества в качество», который может превратить большой объем нечувствительной информации в чувствительную.

Поврежденные устройства, содержащие чувствительные данные, могут потребовать оценку риска того, были ли они достаточно физически разрушены до того, как были выброшены или попали в ремонт.

Транспортировка носителей

Меры и средства

Носители должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.

Рекомендации по реализации

Для защиты носителей, содержащих информацию, при транспортировке необходимо учитывать следующие рекомендации:

— должен использоваться надежный транспорт или курьеры;

— список разрешенных курьеров необходимо согласовывать с руководством;

— необходимо разработать процедуры проверки благонадежности курьеров;

— упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;

— должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.

Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.

Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.

<p>5. Управление доступом</p>

Управление доступом определяют следующие составляющие:

— правила разграничения доступа;

— управление доступом пользователей;

— ответственность пользователя;

— управление доступом к системе и приложениям.

5.1. Требования разграничения доступа

Цель: Ограничить доступ к информации и средствам обработки информации.

Требования по управлению доступом определяют следующие составляющие:

— правила разграничения доступа;

— доступ к сетям и сетевым сервисам.

Правила разграничения доступа

Меры и средства

Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

Рекомендации по реализации

Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

Правила должны учесть следующее:

— требования к безопасности прикладных программ бизнеса;

— политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

— согласованность между правами доступом и политиками классификации информации систем и сетей;

— требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

— управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

— разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

— требования к формальной авторизации прав доступа;

— требования к периодическому пересмотру управления доступом;

— аннулирование прав доступа;

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное