– упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;
– должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.
Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы.
Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.
5. Управление доступом
Управление доступом определяют следующие составляющие:
– правила разграничения доступа;
– управление доступом пользователей;
– ответственность пользователя;
– управление доступом к системе и приложениям.
5.1. Требования разграничения доступа
Цель: Ограничить доступ к информации и средствам обработки информации.
Требования по управлению доступом определяют следующие составляющие:
– правила разграничения доступа;
– доступ к сетям и сетевым сервисам.
Правила разграничения доступа
Меры и средства
Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.
Рекомендации по реализации
Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.
Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.
Правила должны учесть следующее:
– требования к безопасности прикладных программ бизнеса;
– политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;
– согласованность между правами доступом и политиками классификации информации систем и сетей;
– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование