Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников Страница 17
- Категория: Компьютеры и Интернет / Интернет
- Автор: Вадим Викторович Гребенников
- Страниц: 54
- Добавлено: 2023-12-17 07:15:57
Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников» бесплатно полную версию:Книга рассказывает о семействе международных стандартов ISO/IEC 27k, определяющих требования и правила СУИБ (системы управления информационной безопасностью), порядок разработки СУИБ и алгоритмы управления рисками информационной безопасности и инцидентами информационной безопасности.
Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников читать онлайн бесплатно
— доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;
— права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.
Защита помещений и оборудования
Меры и средства
Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.
Рекомендации по реализации
В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:
— ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;
— здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;
— оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;
— справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.
Защита от окружающей среды
Меры и средства
Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.
Рекомендации по реализации
Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.
7.2. Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.
Безопасность оборудования определяют следующие составляющие:
— размещение и защита оборудования;
— вспомогательное оборудование;
— кабельная безопасность;
— обслуживание оборудования.
— перемещение активов;
— безопасность активов вне территории организации;
— безопасное уничтожение активов;
— безопасность оборудования без присмотра;
— политика чистого рабочего стола и экрана.
Размещение и защита оборудования
Меры и средства
Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации для защиты оборудования:
— оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;
— средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;
— средства хранения следует защищать от несанкционированного доступа;
— для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;
— меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;
— необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;
— следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;
— на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации — фильтры защиты от молнии;
— оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;
— оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.
Вспомогательное оборудование
Меры и средства
Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.
Рекомендации по реализации
Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:
— соответствовать рекомендациям изготовителя оборудования и правовым требованиям;
— регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;
— регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;
— при необходимости иметь сигнализацию выявления неисправности;
— при необходимости иметь несколько каналов с разной физической маршрутизацией.
Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.
Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.
Кабельная безопасность
Меры и средства
Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.
Рекомендации по реализации
Следует рассмотреть для кабельной безопасности следующие рекомендации:
— линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;
— кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;
— для чувствительных или критичных систем дальнейшие меры защиты должны включать:
• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;
• использование электромагнитного экранирования для защиты кабелей;
• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;
• контроль доступа к коммутационным панелям и кабельным помещениям.
Обслуживание оборудования
Меры и средства
Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.
Рекомендации по реализации
Следует рассмотреть для обслуживания оборудования следующие рекомендации:
— оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;
— техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;
— следует хранить записи обо всех неисправностях и всех видах технического обслуживания;
— при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;
— все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;
— перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.
Перемещение активов
Меры и средства
Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации:
— сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;
— сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;
— при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;
— личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.
Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т. п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.
Безопасность удаленных активов
Меры и средства
Безопасность удаленных активов, т. е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.
Рекомендации по реализации
Использование удаленного оборудования для обработки и
Жалоба
Напишите нам, и мы в срочном порядке примем меры.