ГОСТ Р ИСО/МЭК 17799—2005
- должны иметь место адекватные меры по страхованию для защиты оборудования вне помеще
ний организации.
Рискибезопасности, например, связанныесповреждением, воровством и подслушиванием, могут
в значительной степени зависеть от расположения оборудования в организации и должны учитываться
при определении и выборе наиболее подходящих мероприятий по управлению информационной безо
пасностью. Более подробная информация о других аспектах защиты мобильного оборудования
приведена в 9.8.1.
7.2.6 Безопасная утилизация (списание) или повторное использование оборудования
Служебная информация может бытьскомпрометирована вследствие небрежной утилизации (спи
сания) или повторного использования оборудования (8.6.4). Носители данных, содержащие важную
информацию, необходимо физически разрушать или перезаписывать безопасным образом, а не
использовать стандартные функции удаления. Все компоненты оборудования, содержащего носители
данных (встроенные жесткие диски), следует проверять на предмет удаления всех важных данных
и
лицензионного программного обеспечения. В отношении носителей данных, содержащих важную
информацию, может потребоваться оценка рисков с целью определения целесообразности их
разрушения, восстановления или выбраковки.
7.3 Общие мероприятия по управлению информационной безопасностью
Цель: предотвращение компрометации или кражи информации и средств обработки информа
ции.
Информацию исредства обработки информации необходимо защищать от раскрытия, кражи или
модификации неавторизованнымилицами; должны быть внедрены меры, обеспечивающие сведение к
минимуму риска их потери или повреждения.
Процедуры обработки и хранения информации рассматриваются в 8.6.3.
7.3.1 Политика «чистого стола» и «чистого экрана»
Организациям следует применять политику «чистого стола» в отношении бумажныхдокументов и
сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки инфор
мации с тем. чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации
как во время рабочего дня. так и при внеурочной работе. При применении этих политик следует учиты
вать категории информации с точки зрения безопасности (5.2) исоответствующие риски, а также корпо
ративную культуру организации.
Носители информации, оставленные на столах, также могут быть повреждены или разрушены при
бедствии, например, при пожаре, наводнении или взрыве.
Следует применять следующие мероприятия по управлению информационной безопасностью:
- чтобы исключитькомпрометациюинформации, целесообразнобумажныеиэлектронныеносите
ли информации, когда они не используются, хранить в надлежащихзапирающихся шкафах и/или в дру
гих защищенных предметах мебели, особенно в нерабочее время;
- носителис важной или критичной служебной информацией, когдаони не требуются, следуетуби
рать и запирать (например, в несгораемом сейфе или шкафу), особенно когда помещение пустует:
- персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по
окончании работы, следуеттакже применятькодовые замки, пароли или другие мероприятия вотноше
нии устройств, находящихся без присмотра:
- необходимо обеспечить защитупунктовотправкиУприема корреспонденции, а также факсимиль
ных и телексных аппаратов в случаях нахождения их без присмотра;
- в нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от
неавторизованного использования другим способом);
- напечатанные документы с важной или конфиденциальной информацией необходимо изымать
из принтеров немедленно.
7.3.2 Вынос имущества
Оборудование, информацию или программное обеспечение можно выносить из помещений орга
низации только на основаниисоответствующего разрешения. Там. где необходимо и уместно, оборудо
ваниеследует регистрироватьпри выносе ипри вносе, атакжеделатьотметку, когдаоно возвращено. С
целью выявления неавторизованных перемещений активов и оборудования следует проводить выбо
рочную инвентаризацию. Сотрудники должны быть осведомлены о том. что подобные проверки могут
иметь место.
16