litbaza книги онлайнРазная литератураУправление информационной безопасностью. Стандарты СУИБ - Вадим Викторович Гребенников

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 13 14 15 16 17 18 19 20 21 ... 54
Перейти на страницу:
сотрудники, подрядчики и представители сторонних организаций носили ту или иную форму видимого идентификатора и незамедлительно уведомляли сотрудников службы безопасности о замеченных несопровождаемых посетителях и лицах, не носящих видимого идентификатора;

— доступ в зоны безопасности или к средствам обработки конфиденциальной информации персоналу служб поддержки сторонних организаций следует предоставлять только при необходимости; такой доступ должен быть санкционирован и мониториться;

— права доступа в зоны безопасности следует регулярно пересматривать, обновлять и аннулировать при необходимости.

Защита помещений и оборудования

Меры и средства

Физическая безопасность оффисов, помещений и оборудования должна быть спроектирована и внедрена.

Рекомендации по реализации

В отношении защиты оффисов, помещений и оборудования необходимо учитывать следующие рекомендации:

— ключевое оборудование должно быть расположено в местах, где ограничен доступ посторонних лиц;

— здания, по возможности, должны давать минимум информации об их предназначении, не должны иметь явных признаков снаружи и внутри, позволяющих установить наличие деятельности по обработке информации;

— оборудование должно иметь такую конфигурацию, чтобы исключить просматривание и прослушивание конфиденциальной информации в выходных данных; электромагнитное поле также надо рассмотреть соответствующим образом;

— справочники и внутренние телефонные книги, указывающие на местоположение средств обработки конфиденциальной информации, не должны быть доступными для посторонних лиц.

Защита от окружающей среды

Меры и средства

Физическая защита от стихийных бедствий, умышленных атак или общественных беспорядков должна быть спроектирована и внедрена.

Рекомендации по реализации

Следует проконсультироваться у специалиста по вопросу предотвращения ущерба от пожара, наводнения, землетрясения, взрыва, общественного беспорядка и других естественных и искусственных бедствий.

7.2. Безопасность оборудования

Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации.

Безопасность оборудования определяют следующие составляющие:

— размещение и защита оборудования;

— вспомогательное оборудование;

— кабельная безопасность;

— обслуживание оборудования.

— перемещение активов;

— безопасность активов вне территории организации;

— безопасное уничтожение активов;

— безопасность оборудования без присмотра;

— политика чистого рабочего стола и экрана.

Размещение и защита оборудования

Меры и средства

Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от внешних угроз и возможности несанкционированного доступа.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации для защиты оборудования:

— оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;

— средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;

— средства хранения следует защищать от несанкционированного доступа;

— для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;

— меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических и экологических угроз, например, хищение, пожар, взрывы, задымление, затопление, запыление, вибрация, химическое воздействие, помехи в линиях электроснабжения и коммуникаций, электромагнитное излучение и вандализм;

— необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;

— следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;

— на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации — фильтры защиты от молнии;

— оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;

— оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.

Вспомогательное оборудование

Меры и средства

Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.

Рекомендации по реализации

Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:

— соответствовать рекомендациям изготовителя оборудования и правовым требованиям;

— регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;

— регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;

— при необходимости иметь сигнализацию выявления неисправности;

— при необходимости иметь несколько каналов с разной физической маршрутизацией.

Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.

Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.

Кабельная безопасность

Меры и средства

Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.

Рекомендации по реализации

Следует рассмотреть для кабельной безопасности следующие рекомендации:

— линии электропитания и телекоммуникаций средств обработки информации должны, по возможности, располагаться под землей или иметь адекватную альтернативную защиту;

— кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;

— для чувствительных или критичных систем дальнейшие меры защиты должны включать:

• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;

• использование электромагнитного экранирования для защиты кабелей;

• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;

• контроль доступа к коммутационным панелям и кабельным помещениям.

Обслуживание оборудования

Меры и средства

Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.

Рекомендации по реализации

Следует рассмотреть для обслуживания оборудования следующие рекомендации:

— оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;

— техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;

— следует хранить записи обо всех неисправностях и всех видах технического обслуживания;

— при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;

— все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;

— перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.

Перемещение активов

Меры и средства

Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.

Рекомендации по реализации

Необходимо учитывать следующие рекомендации:

— сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;

— сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;

— при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;

— личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.

Выборочные проверки для выявления несанкционированного перемещения активов могут также выявить несанкционированные записывающие устройства, оружие и т. п. и предотвратиь их ввоз или вывоз. Такие проверки должны проводиться в соответствии с действующим законодательством и нормативами. Лица, осуществляющие проверки, должны быть осведомлены о своих полномочиях, которые должны соответствовать правовым и нормативным требованиям.

Безопасность удаленных активов

Меры и средства

Безопасность удаленных активов, т. е. находящихся за пределами организации, должна быть обеспечена с учетом разнообразных рисков такой их эксплуатации.

Рекомендации по реализации

Использование удаленного оборудования для обработки и

1 ... 13 14 15 16 17 18 19 20 21 ... 54
Перейти на страницу:

Комментарии
Минимальная длина комментария - 20 знаков. Уважайте себя и других!
Комментариев еще нет. Хотите быть первым?