ГОСТ Р ИСО/МЭК 17799—2005
8.6Безопасность носителей информации
Цель: предотвращение повреждений активов и прерываний бизнес-процессов. Использование
носителейинформациидолжно контролироваться, а такжедолжна обеспечиватьсяихфизическаябезо
пасность.
Должны бытьопределены соответствующие процедуры защиты документов, компьютерныхноси
телей информации (лент, дисков, кассет), данных ввода/вывода и системнойдокументации от повреж
дений, воровства и неправомочного доступа.
8.6.1 Использование сменных носителей компьютерной информации
Должны существоватьпроцедуры поиспользованиюсменных носителейкомпьютернойинформа
ции(лент, дисков, кассет,а также печатных отчетов). Вэтихслучаяхнеобходиморассматриватьследую
щие мероприятия по управлению информационной безопасностью:
- еслиносители информации многократного использования большене требуются ипередаютсяза
пределы организации, то их содержимое должно быть уничтожено;
- вотношении всехуничтожаемыхносителейинформациидолжно бытьпринятосоответствующее
решение, а также должна быть сделана запись в регистрационном журнале, который следует хранить
(8.7.2);
- все носители информации следуетхранитьв надежном, безопасном месте в соответствиис тре
бованиями изготовителей.
Все процедуры авторизации должны быть четко документированы.
8.6.2 Утилизация носителей информации
Носители информации поокончании использования следует надежно ибезопасно утилизировать.
Важная информация можетпопастьв руки постороннихлициз-занебрежнойутилизацииносителейдан
ных. Чтобы свести к минимуму такой риск, должны быть установлены формализованные процедуры
безопасной утилизации носителей информации. Для этого необходимо предусматривать следующие
мероприятия:
а) носители, содержащие важную информацию, следует хранить и утилизировать надежно и
безопасно (например, посредством сжигания/измельчения). Если носители планируется использовать в
пределах организации для других задач, то информация на них должна быть уничтожена;
б) ниже приведен перечень объектов, в отношении которых может потребоваться безопас
ная утилизация:
1) бумажные документы;
2) речевые или другие записи;
3) копировальная бумага;
4) выводимые отчеты;
5) одноразовые ленты для принтеров:
6) магнитные ленты;
7) сменные диски или кассеты;
8) оптические носители данных (все разновидности, в том числе носители, содержащие про
граммное обеспечение, поставляемое производителями),
9) тексты программ;
10) тестовые данные;
11) системная документация;
в) может оказаться проще принимать меры безопасной утилизации в отношении всех носите
лей информации, чем пытаться сортировать носители по степени важности;
г) многие организации предлагают услуги по сбору и утилизации бумаги, оборудования и
носителей информации. Следуеттщательно выбиратьподходящегоподрядчика сучетом имеющегосяу
него опыта и обеспечения необходимого уровня информационной безопасности;
д) по возможности следует регистрировать утилизацию важных объектов с целью последую
щего аудита.
При накоплении носителей информации, подлежащих утилизации, следует принимать во внима
ние «эффектнакопления», то есть большой объем открытой информации можетсделать ее более важ
ной.
8.6.3 Процедуры обработки информации
С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного
использования необходимоопределитьпроцедуры обработки ихранения информации. Эти процедуры
должны быть разработаны с учетом категорирования информации (5.2). а также в отношениидокумен
тов. вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, рече-
23