Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.

Маркировка информации

Меры и средства

Соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.

Рекомендации по реализации

Процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.

Процедуры должны указывать, где и как наносить метки с учетом видов доступа к информации или обработки активов в зависимости от типов носителя. Процедуры должны определять, когда маркировка не применяется, например, для неконфиденциальной информации, для снижения нагрузок.

Сотрудники и подрядчики должны быть осведомлены о процедурах маркировки.

Выходные данные ИС, содержащие информацию, классифицированную как чувствительную или критичную, должны иметь соответствующую классификационную метку.

Маркировка классифицированной информации является ключевым требованием для соглашений по распространению информации. Физические метки и метаданные являются общепризнаной формой маркировки.

Обработка активов

Меры и средства

Процедуры обработки активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.

Рекомендации по реализации

Процедуры должны быть установлены для обработки, хранения и передачи информации в соответствии с ее классификацией.

Необходимо рассмотреть следующие рекомендации:

– ограничения доступа в соответствии с требованиями защиты для каждого уровня классификации;

– ведение формальной записи авторизованных получателей активов;

– соответствие защиты любых копий информации уровню защиты исходной информации;

– хранение ИТ активов в соответствии с рекомендациями изготовителей;

– четкая маркировка всех копий носителей информации для авторизованного получателя.

Для каждого уровня классификации должны быть определены процедуры доступа и использования информационных активов, включающие безопасную обработку, хранение, передачу, присвоение и снятие грифа секретности, а также уничтожение. Сюда следует также отнести процедуры по обеспечению регистрации любого события, имеющего значение для ИБ, и хранению этих данных.

Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.

4.3. Безопасность носителей информации

Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.

Безопасность носителей информации обеспечивают следующие мероприятия:

– управление носителями;

– уничтожение носителей;

– транспортировка носителей.

Управление носителями

Меры и средства

Должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

– в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;

– при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;

– все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;

– если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;

– для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;

– множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;

– должна вестись регистрация носителей для уменьшения возможности потери данных;

– сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;

– там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.

Процедуры и уровни авторизации должны быть задокументированы.

Уничтожение носителей

Меры и средства

Если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.

Рекомендации по реализации