Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович (книги хорошего качества txt, fb2) 📗
– регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;
– регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;
– при необходимости иметь сигнализацию выявления неисправности;
– при необходимости иметь несколько каналов с разной физической маршрутизацией.
Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.
Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.
Кабельная безопасность
Меры и средства
Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.
Рекомендации по реализации
Следует рассмотреть для кабельной безопасности следующие рекомендации:
– линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;
– кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;
– для чувствительных или критичных систем дальнейшие меры защиты должны включать:
• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;
• использование электромагнитного экранирования для защиты кабелей;
• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;
• контроль доступа к коммутационным панелям и кабельным помещениям.
Обслуживание оборудования
Меры и средства
Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.
Рекомендации по реализации
Следует рассмотреть для обслуживания оборудования следующие рекомендации:
– оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;
– техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;
– следует хранить записи обо всех неисправностях и всех видах технического обслуживания;
– при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;
– все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;
– перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.
Перемещение активов
Меры и средства
Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации:
– сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;
– сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;
– при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;
– личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.
Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т. п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.
Безопасность удаленных активов
Меры и средства
Безопасность удаленных активов, т.е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.
Рекомендации по реализации
Использование удаленного оборудования для обработки и хранения информации должно быть санкционировано руководством. Это касается оборудования, являющегося собственностью организации, а также личного оборудования, которое используется от имени организации.
Необходимо учесть следующие рекомендации для защиты удаленных активов:
– оборудование и носители, вынесенные за пределы организации, не следует оставлять без присмотра в общедоступных местах;
– необходимо всегда соблюдать инструкции изготовителей по защите оборудования, например, по защите от воздействия сильных электромагнитных полей;
– следует определить и обеспечить соответствующие меры безопасности для удаленных мест, таких как работа на дому, удаленная работа и временные сайты, исходя из оценки риска, например, запираемые шкафы для хранения документов, политика чистого рабочего стола, защита доступа к компьютерам и защищенная связь с офисом;
– журнал регистрации фактов передачи удаленного оборудования между разными лицами и сторонними организациями должен содержать цепочки поставок оборудования, в том числе ответственных за оборудование лиц и организаций.
Риски, например, повреждения, хищения или подслушивания, могут быть разными для разных мест и должны учитываться при выборе наиболее подходящих мер защиты.
Оборудование для обработки и хранения информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаги или другие виды, используемые для работы на дому или выносимые за пределы организации.
Предотвращению риска может способствовать запрет удаленной работы или использования портативного ИТ оборудования для определенных сотрудников.
Безопасное уничтожение оборудования
Меры и средства
Все элементы оборудования, содержащие носители информации, перед уничтожением или повторным использованием должны быть проверены на предмет уничтожения или безопасной перезаписи чувствительных данных и лицензионного ПО.
Рекомендации по реализации
Оборудование перед уничтожением или повторным использованием должно быть проверено на наличие носителей информации.
Носители, содержащие конфиденциальную и защищенную авторскими правами информацию, должны быть физически разрушены, или информация должна быть разрушена, удалена или перезаписана с помощью не стандартного удаления или форматирования, а специальных методов, делающих исходную информацию невосстановимой.
Поврежденное оборудование, содержащее чувствительные данные, может потребовать оценку риска того, было ли оно достаточно физически разрушено до того, как было выброшено или попало в ремонт. Информация может быть скомпрометирована при неправильном уничтожении или повторном использовании оборудования.
Наряду с безопасной чисткой диска риск разглашения конфиденциальной информации при утилизации или перераспределении оборудования снижает шифрование целого диска при выполнении следующих условий:
– процесс шифрования достаточно сильный и охватывает весь диск (включая свободное пространство, файлы подкачки и т.п.);
– длина ключей достаточна для противодействия атакам перебора;
– ключи шифрования содержатся в тайне (например, не хранятся на самом диске).
Методы безопасной перезаписи носителей могут быть разными в зависимости от технологии носителей. Инструменты перезаписи следует проверять на предмет соответствия технологии носителей.