Please enable JavaScript.
Coggle requires JavaScript to display documents.
10.7 Обращение с носителями информации (Цели: (Предотвратить…
10.7 Обращение с носителями информации
Цели:
Предотвратить неавторизованное раскрытие, модификацию, выбытие или уничтожение акти
вов и прерывание деятельности бизнеса.
Предотвратить неавторизованное раскрытие, модификацию, выбытие или уничтожение акти
вов и прерывание деятельности бизнеса.
10.7.1 Менеджмент сменных носителей информации
Должны существовать процедуры в отношении менеджмента сменных носителей информации.
Рекомендации:
a) если не предполагается повторно использовать содержание носителей информации, которые дол
жны быть перемещены за пределы организации, то информацию необходимо сделать неизвлекаемой;
b) где необходимо и практично, должно требоваться разрешение на вынос носителей информации
из организации и запись о таком перемещении следует хранить как контрольную запись для аудита;
c) все носители информации должны храниться в надежной, безопасной среде, в соответствии
со спецификациями изготовителей;
d) для уменьшения возможности потери данных должна быть предусмотрена регистрация сменных носителей информации;
e) сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса.
10.7.2 Утилизация носителей информации
Носители информации, когда в них больше нет необходимости, следует надежно и безопасно утили
зировать, используя формальные процедуры.
Рекомендации:
a) носители, содержащие чувствительную информацию, должны храниться и утилизироваться на
дежно и безопасно.
b) должны существовать процедуры по выявлению носителей информации, для которых может потре
боваться безопасная утилизация;
c) может оказаться проще принимать меры по сбору и безопасной утилизации в отношении всех
носителей информации, чем пытаться выделить носители с чувствительной информацией;
d) следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и
применяемых мер и средств контроля и управления;
e) где возможно, утилизацию носителей, содержащих чувствительную информацию, следует фикси
ровать как контрольную запись для аудита.
10.7.3 Процедуры обработки информации
С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного ис
пользования необходимо определить процедуры обработки и хранения информации.
Рекомендации:
a) обработку и маркировку всех носителей информации в соответствии с ее указанным уровнем клас
сификации;
b) ограничение доступа с целью предотвращения доступа неавторизованного персонала;
c) обеспечение формальной регистрации авторизованных получателей данных;
d) обеспечение уверенности в том, что процесс ввода данных и обработки завершаются должным
образом и что выполняется проверка выходных данных;
e) защиту информации, находящейся в буфере данных и ожидающей вывода, соответствующую
степени чувствительности этой информации;
f) хранение носителей информации в соответствии со спецификациями изготовителей;
д) сведение распространения данных к минимуму;
h) четкая маркировка всех копий данных, предназначенных вниманию авторизованного получателя;
i) пересмотр списков рассылки и списков авторизованных получателей через регулярные интервалы времени.
10.7.4 Безопасность системной документации
Системная документация должна быть защищена от неавторизованного доступа.
Рекомендации:
a) системную документацию надлежит хранить безопасным образом;
b) список лиц, имеющих доступ к системной документации, необходимо свести к минимуму; доступ должен быть авторизован владельцем прикладной программы;
c) системную документацию, полученную или поддерживаемую через общедоступную сеть, следует
защищать надлежащим образом.