Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

Формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности этой информации.

Необходимо рассмотреть следующие рекомендации:

– носители, содержащие конфиденциальную информацию, должны храниться и уничтожаться надежно, например, путем сжигания и измельчения или стирания данных для другого применения внутри организации;

– должны существовать процедуры по выявлению носителей, которые необходимо уничтожить;

– проще принять меры по сбору и уничтожению всех носителей информации, чем выявлять носители с чувствительной информацией;

– многие организации предлагают сбор и сервисы уничтожения носителей, среди них надо выбрать ту, которая имеет адекватные меры защиты и квалификацию;

– уничтожение чувствительной информации должно регистрироваться, а запись храниться для аудита.

При сборе носителей для уничтожения необходимо учитывать эффект «перехода количества в качество», который может превратить большой объем нечувствительной информации в чувствительную.

Поврежденные устройства, содержащие чувствительные данные, могут потребовать оценку риска того, были ли они достаточно физически разрушены до того, как были выброшены или попали в ремонт.

Транспортировка носителей

Меры и средства

Носители должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.

Рекомендации по реализации

Для защиты носителей, содержащих информацию, при транспортировке необходимо учитывать следующие рекомендации:

– должен использоваться надежный транспорт или курьеры;

– список разрешенных курьеров необходимо согласовывать с руководством;

– необходимо разработать процедуры проверки благонадежности курьеров;

– упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;

– должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.

Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.

Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.

<p>5. Управление доступом</p>

Управление доступом определяют следующие составляющие:

– правила разграничения доступа;

– управление доступом пользователей;

– ответственность пользователя;

– управление доступом к системе и приложениям.

5.1. Требования разграничения доступа

Цель: Ограничить доступ к информации и средствам обработки информации.

Требования по управлению доступом определяют следующие составляющие:

– правила разграничения доступа;

– доступ к сетям и сетевым сервисам.

Правила разграничения доступа

Меры и средства

Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

Рекомендации по реализации

Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

Правила должны учесть следующее:

– требования к безопасности прикладных программ бизнеса;

– политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

– согласованность между правами доступом и политиками классификации информации систем и сетей;

– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

– требования к формальной авторизации прав доступа;

– требования к периодическому пересмотру управления доступом;

– аннулирование прав доступа;

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет
Полная версия
Справочник по реестру Windows XP
Справочник по реестру Windows XP

Самое полное описание на русском языке параметров и разделов реестра операционной системы Windows ХР.

РуБоард Коллектив

ОС и Сети, интернет
Читать Онлайн
Избранное