ГОСТ Р ИСО/МЭК 27002-2012
10.8.5 Информационные системы бизнеса
Мера и средство контроля и управления
Необходимо разработать и внедрить политики и процедуры защиты информации,
связанной с взаимодействием информационных систем бизнеса.
Рекомендация по реализации
Необходимо учитывать последствия от взаимодействия информационных систем
для безопасности и бизнеса в целом, такие как:
a) известная уязвимость, присущая административным системам и системам учета
и отчетности, где информация разделяется между различными частями организации;
b
) уязвимостьинформациив системахсвязибизнеса,напримерзаписи
телефонных разговоров или переговоров по конференц-связи, конфиденциальность
звонков, хранение факсов, вскрытие и рассылка электронных сообщений;
c) политика и соответствующие меры и средства контроля и управления для
менеджмента совместного использования информации;
d) запретнаиспользованиечувствительнойинформациибизнесаине
подлежащихоглашениюдокументов,еслиданныесистемынеобеспечивают
соответствующий уровень защиты (см. 7.2);
e) ограничение доступа к данным личных ежедневников отдельных сотрудников,
например работающих над чувствительными проектами;
f) определение категорий тех сотрудников, подрядчиков или деловых партнеров,
которым разрешено использовать систему, и точек, с которых может осуществляться
доступ к ней (см. 6.2);
д) ограничение отдельных возможностей системы для определенных категорий
пользователей;
h) определение статуса пользователей, например сотрудников организации или
подрядчиков, в отдельных директориях, для удобства других пользователей;
i) сохранение и резервное копирование информации, содержащейся в системе
(см. 10.5.1);
j) условия перехода на аварийный режим работы и перечень соответствующих
мероприятий (см. 14).
85