Шрифт:
Интервал:
Закладка:
Классификацию проводят люди, работающие с информацией и четко осознающие, как ее обрабатывать и защищать. Создание информационных групп со схожей защитой требует и определяет процедуры ИБ, применимые для всей информации в каждой группе. Такой подход снижает необходимость оценки риска и поиска мер защиты в каждом конкретном случае.
Информация может перестать быть чувствительной или критичной после определенного периода времени, например, когда станет публичной. Такие аспекты надо принимать во внимание, поскольку избыточная классификация может приводить к внедрению ненужных мер защиты и дополнительным расходам, а недостаточная — подвергать опасности достижение бизнес-целей.
Схема классификации конфиденциальности информации может содержать, например, четыре следующих уровня:
— разглашение не приносит вреда;
— разглашение вызывает небольшое затруднение и оперативное неудобство;
— разглашение имеет серьезное короткое влияние на операции или тактические цели;
— разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.
Маркировка информации
Меры и средства
Соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.
Рекомендации по реализации
Процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.
Процедуры должны указывать, где и как наносить метки с учетом видов доступа к информации или обработки активов в зависимости от типов носителя. Процедуры должны определять, когда маркировка не применяется, например, для неконфиденциальной информации, для снижения нагрузок.
Сотрудники и подрядчики должны быть осведомлены о процедурах маркировки.
Выходные данные ИС, содержащие информацию, классифицированную как чувствительную или критичную, должны иметь соответствующую классификационную метку.
Маркировка классифицированной информации является ключевым требованием для соглашений по распространению информации. Физические метки и метаданные являются общепризнаной формой маркировки.
Обработка активов
Меры и средства
Процедуры обработки активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.
Рекомендации по реализации
Процедуры должны быть установлены для обработки, хранения и передачи информации в соответствии с ее классификацией.
Необходимо рассмотреть следующие рекомендации:
— ограничения доступа в соответствии с требованиями защиты для каждого уровня классификации;
— ведение формальной записи авторизованных получателей активов;
— соответствие защиты любых копий информации уровню защиты исходной информации;
— хранение ИТ активов в соответствии с рекомендациями изготовителей;
— четкая маркировка всех копий носителей информации для авторизованного получателя.
Для каждого уровня классификации должны быть определены процедуры доступа и использования информационных активов, включающие безопасную обработку, хранение, передачу, присвоение и снятие грифа секретности, а также уничтожение. Сюда следует также отнести процедуры по обеспечению регистрации любого события, имеющего значение для ИБ, и хранению этих данных.
Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.
4.3. Безопасность носителей информации
Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.
Безопасность носителей информации обеспечивают следующие мероприятия:
— управление носителями;
— уничтожение носителей;
— транспортировка носителей.
Управление носителями
Меры и средства
Должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
— в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;
— при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;
— все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;
— если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;
— для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;
— множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;
— должна вестись регистрация носителей для уменьшения возможности потери данных;
— сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;
— там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.
Процедуры и уровни авторизации должны быть задокументированы.
Уничтожение носителей
Меры и средства
Если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.
Рекомендации по реализации
Формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности этой информации.
Необходимо рассмотреть следующие рекомендации:
— носители, содержащие конфиденциальную информацию, должны храниться и уничтожаться надежно, например, путем сжигания и измельчения или стирания данных для другого применения внутри организации;
— должны существовать процедуры по выявлению носителей, которые необходимо уничтожить;
— проще принять меры по сбору и уничтожению всех носителей информации, чем выявлять носители с чувствительной информацией;
— многие организации предлагают сбор и сервисы уничтожения носителей, среди них надо выбрать ту, которая имеет адекватные меры защиты и квалификацию;
— уничтожение чувствительной информации должно регистрироваться, а запись храниться для аудита.
При сборе носителей для уничтожения необходимо учитывать эффект «перехода количества в качество», который может превратить большой объем нечувствительной информации в чувствительную.
Поврежденные устройства, содержащие чувствительные данные, могут потребовать оценку риска того, были ли они достаточно физически разрушены до того, как были выброшены или попали в ремонт.
Транспортировка носителей
Меры и средства
Носители должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.
Рекомендации по реализации
Для защиты носителей, содержащих информацию, при транспортировке необходимо учитывать следующие рекомендации:
— должен использоваться надежный транспорт или курьеры;
— список разрешенных курьеров необходимо согласовывать с руководством;
— необходимо разработать процедуры проверки благонадежности курьеров;
— упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;
— должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.
Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.
Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.
5. Управление доступом
Управление доступом определяют следующие