ISO/EIC 17799:2000
8.5 Управление вычислительными сетями
Цель: Обеспечить защиту информации в вычислительных сетях и безопасность сопутствующей инфраструктуры.
Управление безопасностью в сетях, выходящих за пределы организации, требует особого внимания.
Для защиты конфиденциальной информации, передаваемой по общественным сетям, могут потребоваться дополнительные средства.
8.5.1 Средства обеспечения безопасности сетей
Для обеспечения и поддержки безопасности в компьютерных сетях необходим определенный перечень средств. Сетевые администраторы должны внедрить средства, обеспечивающие безопасность данных в сетях и защиту сервисов доступа от несанкционированного использования. В частности, рекомендуется рассмотреть следующие меры:
a)Обязанности по эксплуатации сети при необходимости следует отделить от обязанностей, связанных с эксплуатацией компьютеров (см. раздел 8.1.4).
b)Необходимо определить обязанности и регламенты, связанные с управлением удаленным оборудованием, в том числе тем оборудованием, которое находится на пользовательской территории.
c)В случае необходимости следует ввести особые меры для сохранения конфиденциальности и целостности данных, передаваемых по общественным сетям, и для защиты взаимодействующих систем (см. разделы 9.4 и 10.3). Кроме того, могут потребоваться специальные меры для поддержки доступности сетевых сервисов и подключенных компьютеров.
d)Мероприятия по управлению сетью должны быть скоординированы, чтобы обеспечить как оптимальный уровень предоставляемого сервиса в организации, так и согласованное внедрение средств защиты во всей инфраструктуре обработки информации.
8.6 Обращение с носителями и их безопасность
Цель: Предотвратить повреждение ресурсов и нарушение деятельности организации. Носители должны контролироваться и физически защищаться.
Необходимо разработать правила по защите документов, компьютерных носителей (лент, дисков, кассет), вводимых и выводимых данных и системной документации от повреждения, кражи и неавторизованного доступа.
8.6.1 Обращение со съемными компьютерными носителями
Необходимо разработать правила обращения со съемными компьютерными носителями, например, лентами, дисками, кассетами и печатными отчетами. Рекомендуется рассмотреть следующие меры:
a)Предыдущее содержимое любых многоразовых носителей, которые больше не требуются организации, должно быть стерто, если необходимость в нем отпала.
b)На передачу носителей за пределы организации необходимо получать разрешение. Следует сохранять записи о передачу носителей; эти записи могут потребоваться при аудиторской проверке (см. раздел 8.7.2).
© ISO/EIC 2000, |
43 |
© Перевод компании Информзащита 2004 |
|
ISO/EIC 17799:2000
c)Все носители должны храниться в безопасных местах в соответствии с инструкциями производителя.
Все правила и уровни авторизации должны быть четко документированы.
8.6.2 Утилизация носителей
Носители, ставшие ненужными, следует утилизировать с соблюдением требований безопасности. При небрежной утилизации носителей конфиденциальная информация может попасть в руки посторонних. Чтобы уменьшить риск, необходимо разработать официальные правила безопасной утилизации носителей. Рекомендуется рассмотреть следующие меры:
a)Носители, содержащие конфиденциальную информацию, должны храниться и утилизироваться надежным способом (например, путем сжигания или измельчения) или очищаться от данных перед использованием внутри организации в других целях.
b)Ниже перечислен список предметов, при утилизации которых могут потребоваться особые предосторожности:
1)бумажные документы;
2)аудиозаписи;
3)копировальная бумага;
4)отчеты о результатах работы программ;
5)одноразовые красящие ленты для принтеров;
6)магнитные ленты;
7)съемные диски или кассеты;
8)оптические носители (все виды, включая дистрибутивные носители, полученные от производителей программного обеспечения);
9)листинги программ;
10)тестовые данные;
11)системная документация.
c)В некоторых случаях допускается массовое уничтожение носителей разных типов без выделения носителей с важной информацией.
d)Многие организации предлагают услуги по сбору и утилизации бумаг, носителей и оборудования. Будьте внимательны при выборе подходящего подрядчика, имеющего опыт работы и использующего необходимые средства защиты.
e)Необходимо вести учет фактов уничтожения важных носителей для обеспечения возможности контроля процессов утилизации.
При сборе носителей для утилизации необходимо подумать об «эффекте накопления», в результате которого большое количество неконфиденциальной информации может повлиять на безопасность больше, чем небольшое количество конфиденциальной.
8.6.3 Правила обращения с информацией
Необходимо разработать правила хранения информации и обращения с ней, чтобы защитить информацию от несанкционированного раскрытия или неправомерного использования. В правилах должны быть изложены принципы обращения с информацией в соответствии с ее классификацией (см. раздел 5.2). Эти правила должны относиться к документам,
44 |
© ISO/EIC 2000 |
|
© Перевод компании Информзащита 2004 |