Носители информации как объект защиты
Все информационные ресурсы привязываются к определенным носителям информации – бумажным, магнитным, оптическим носителям, жестким дискам и т.д. К основным угрозам безопасности физических носителей информации можно отнести:
разглашение информации, утрата (потеря, хищение, кража) носителей информации;
несанкционированное копирование, чтение, наблюдение, фотографирование информации;
нарушение целостности и достоверности информации, носителей информации;
блокировка доступа законных пользователей к носителям информации.
При этом возможные следующие способы (методы) реализации угроз физическим носителям информации:
1. Несанкционированный проход на объект защиты с целью прослушивания, установок технических средств съема информации, сбора отходов производства, вывод из строя механизмов защиты объекта.
2. Несанкционированный доступ к физическим носителям информации, с целью хищения, чтения, копирования информации, уничтожения носителей информации.
3. Вербовка (подкуп, взятка и т.п.), психологическое и физическое воздействие на работника организации.
4. Нарушения работником требований нормативных документов по обеспечению режима секретности.
5. Случайные или ошибочные действия работника при эксплуатации технических средств защиты.
6. Преднамеренное изменение режима работы средств защиты информации.
7. Изменения режима работы средств защиты в результате воздействия стихийных бедствий, сбоя или отказа средств жизнеобеспечения.
8. На основании возможных способов и методов реализации угроз и анализа состояния защиты объекта составляется перечень необходимых организационных, технических мероприятий по защите объекта.
Для защиты физических носителей информации должен использоваться комплекс организационных и технических мероприятий:
Организационные мероприятия по защите физических носителей
1. Определение перечня сведений, подлежащих защите.
2. Сбор, обработка, анализ и прогнозирование возможных угроз ин-формационной безопасности.
3. Разработка нормативно-правовых документов, определяющих порядок организации защиты сведений.
4. Регламентация работы лиц в вопросах обеспечения режима и информационной безопасности.
5. Обеспечение строгого режима доступа на объект защиты
6. Обеспечение строгого режима доступа к охраняемым сведениям.
7. Поддержание установленного режима работы с носителями информации, правил пользования средствами обработки и защиты информации.
8. Правильная организация ремонтно-профилактических работ и ремонта технических средств.
9. Правильная организация ремонтно-строительных работ на защищаемых объектах.
10. Создание эффективной системы обучения лиц, правилам обеспечения информационной безопасности.
11. Формирование у лиц, допущенных к охраняемым сведениям, чувства личной ответственности за сохранность информации.
12. Проведение служебной проверки по каждому случаю нарушений, попыток несанкционированного доступа к информации, а также при обнаружении других недостатков в защите информации
13. Контроль организации защиты информации.
14. Контроль выполнения лицами требований и норм по защите информации.
Технические мероприятия по защите физических носителей
1. Инженерно-технические средства, обеспечивающие предотвращение несанкционированного доступа посторонних лиц на объекты защиты.
2. Технический контроль эффективности средств защиты информации.
Для противодействия угрозам носителям конфиденциальной информации в организации должен быть внедрен соответствующий процесс.
Процесс управления носителями конфиденциальной информации
Мероприятия по управлению носителями конфиденциальной информации
С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации на носителях. Эти процедуры должны быть разработаны с учетом категорирования информации. Необходимо использовать следующие мероприятия по управлению носителями конфиденциальной информации:
учет и маркирование всех носителей информации конфиденциальной информации;
ограничения доступа к носителям конфиденциальной информации, надлежащего оформления доступа к ним со стороны пользователей;
регистрация и учет носителей конфиденциальной информации;
хранение носителей информации в соответствии с требованиями по безопасности;
учет движения носителей конфиденциальной информации;
гарантированное уничтожение носителей конфиденциальной информации, или гарантированное уничтожение хранимой на них информации, при отсутствии в носителях.
При использовании носителей информации требуется обеспечить их защиту. Должны существовать процедуры по использованию сменных носителей компьютерной информации (лент, дисков, кассет, а также печатных отчетов). В этих случаях необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:
если носители информации многократного использования больше не требуются и передаются за пределы организации, то их содержимое должно быть уничтожено;
в отношении всех уничтожаемых носителей информации должно быть принято соответствующее решение, а также должна быть сделана запись в регистрационном журнале, который следует хранить;
все носители информации следует хранить в надежном, безопасном месте в соответствии с требованиями изготовителей.
все процедуры авторизации должны быть четко документированы.
Утилизация
Носители информации по окончании использования следует надежно и безопасно утилизировать. Важная информация может попасть в руки посторонних лиц из-за небрежной утилизации носителей данных. Чтобы свести к минимуму такой риск, должны быть установлены формализованные процедуры безопасной утилизации носителей информации. Для этого необходимо предусматривать следующие мероприятия:
носители, содержащие важную информацию, следует хранить и утилизировать надежно и безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в пределах организации для других задач, то информация на них должна быть уничтожена;
ниже приведен перечень объектов, в отношении которых может потребоваться безопасная утилизация:
1. бумажные документы;
2. речевые или другие записи;
3. копировальная бумага;
4. выводимые отчеты;
5. одноразовые ленты для принтеров;
6. магнитные ленты;
7. сменные диски или кассеты;
8. оптические носители данных (все разновидности, в том числе носители, содержащие программное обеспечение, поставляемое производителями);
9. тексты программ;
10. тестовые данные;
11. системная документация;
может оказаться проще принимать меры безопасной утилизации в отношении всех носителей информации, чем пытаться сортировать носители по степени важности;
многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и носителей информации. Следует тщательно выбирать подходящего подрядчика с учетом имеющегося у него опыта и обеспечения необходимого уровня информационной безопасности;
по возможности следует регистрировать утилизацию важных объектов с целью последующего аудита.
При накоплении носителей информации, подлежащих утилизации, следует принимать во внимание "эффект накопления", то есть большой объем открытой информации может сделать ее более важной.
Защита системной документации
Следует отметить, что системная документация может содержать определенную важную информацию, например, описания процессов работы бизнес-приложений, процедур, структур данных, процессов авторизации. В этих условиях с целью защиты системной документации от неавторизованного доступа необходимо применять следующие мероприятия:
системную документацию следует хранить безопасным образом;
список лиц, имеющих доступ к системной документации, следует сводить к минимуму; доступ должен быть авторизован владельцем бизнес-приложения;
системную документацию, полученную/поддерживаемую через общедоступную сеть, следует защищать надлежащим образом.
Безопасность носителей при пересылке
Информация может быть искажена или скомпрометирована вследствие неавторизованного доступа, неправильного использования или искажения во время физической транспортировки, например, при пересылке носителей информации по почте или через курьера. Для защиты информации, передаваемой между организациями, необходимо применять следующие меры:
следует использовать надежных перевозчиков или курьеров. Список авторизованных курьеров необходимо согласовывать с руководством, кроме того, следует внедрить процедуру проверки идентификации курьеров;
упаковка должна быть достаточной для защиты содержимого от любого физического повреждения, которое может иметь место при транспортировке, и соответствовать требованиям изготовителей носителей информации;
специальные средства контроля следует применять, при необходимости, для защиты важной информации от неавторизованного раскрытия или модификации, например:
1. использование запертых контейнеров;
2. личную доставку;
3. использование упаковки, которую нельзя нарушить незаметно (на которой видна любая попытка вскрытия);
4. в исключительных случаях, разбивку отправления на несколько частей, пересылаемых различными маршрутами;
5. использование цифровых подписей и шифрования для обеспечения конфиденциальности.
Дата добавления: 2020-10-14; просмотров: 768;