Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.
4.3. Безопасность носителей информации
Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.
Безопасность носителей информации обеспечивают следующие мероприятия:
– управление носителями;
– уничтожение носителей;
– транспортировка носителей.
Управление носителями
Меры и средства
Должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
– в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;
– при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;
– все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;
– если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;
– для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;
– множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;
– должна вестись регистрация носителей для уменьшения возможности потери данных;
– сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;
– там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.
Процедуры и уровни авторизации должны быть задокументированы.
Уничтожение носителей
Меры и средства
Если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.
Рекомендации по реализации
Формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности