24
законодательно-нормативных требований.
В отсутствие внутренних руководств всесторонние указания по безопасности, разработанные с целью удовлетворения потребностей организации, можно найти в имеющихся публикациях. Эти указания по безопасности могут послужить адекватной основой для разработки руководств, соответствующих требованиям организации. Некоторые организации могут рассмотреть возможность использования внешних аккредитованных схем обеспечения безопасности в качестве дополнительного подтверждения соответствия своей политике в области безопасности.
Процедуры, реализованные в соответствии с политикой информационной безопасности организации, должны быть задокументированы.
Для управления доступом к различным уровням системы (например, средства управления, средства ввода данных и извлечения информации) следует внедрить защищенную систему управления доступом.
Размещение и среда функционирования для доверенной системы управления документами и информацией, а также хранения, маркировки, обработки, перевозки и обслуживания носителей информации должны соответствовать рекомендациям поставщиков и/или соответствующим национальным или международным стандартам.
Центральная часть системы (включая файловые серверы, подсистемы хранения и т. д.) должна быть размещена в защищенных зонах (в соответствии с процедурами обеспечения безопасности в организации) с документированным ограниченным доступом.
- Ключи шифрования
Для улучшения безопасности и целостности хранимых данных могут быть использованы технологии шифрования. Электронный файл может быть зашифрован целиком, чтобы содержащаяся в нем информация не могла быть извлечена без использования ключа шифрования. Тема шифрования сложна и подвержена постоянным изменениям. За подробными сведениями пользователям настоящего стандарта следует обращаться к авторитетным публикациям поэтому вопросу.
При длительном хранении использование шифрования может создать проблемы, особенно если ключи и/или сертификаты по каким-либо причинам окажутся недоступными.
В случае применения шифрования должно обеспечиваться защищенное хранение ключей и их доступность только лицам, авторизованным в качестве ответственных за выполнение действий, требующих доступа к ключам.
Следует внедрять процедуры выдачи и управления ключами шифрования и управления сертификатами.
В случае применения шифрования, а также если существует возможность получения дополнительных преимуществ за счет использования услуг третьей стороны по управлению ключами и их восстановлению или по их ответственному депозитарному хранению (escrow), следует рассмотреть возможность использования таких услуг.
Лицо, первоначально отвечавшее за защищенное управление ключами и сертификатами воргани- зации, может перестать работать в организации, поэтому требуются процедуры, обеспечивающие постоянную доступность ключей и сертификатов.
- Использование услуг, оказываемых по контракту
- Общие положения
Специализированные поставщики услуг часто привлекаются к проведению сканирования бумажных документов, индексирования, преобразования и хранения данных и для оказания других услуг. В этом случае:
- С поставщиком услуг должен быть согласован контракт, детализирующий оказываемые услуги.
- Если контракт не требует, чтобы подрядчик выполнял все соответствующие требования настоящего стандарта, то процедуры инспектирования организацией оказываемых услуг должны быть такими, чтобы не оставалось сомнений относительно полноты, качества и точности этих услуг.
Процедуры и рекомендации, приведенные в настоящем пункте, охватывают услуги любого вида, в том числе предоставляемые на основе административно-хозяйственного управления оборудованием и сооружениями (facilitiesmanagement) и обеспечивающие:
- применение при выполнении работы поставщиками услуг таких же процедур подтверждения аутентичности получаемой информации, как и в том случае, если бы работа целиком выполнялась в организации-клиенте;
- возможность организации-клиента через много лет после события доказать исполнение установ- ленныхтребований,дажееслипоставщикуслугпрекратил ктому временисвою деловую деятельность.
Если работа выполняется за пределами организации, то следует задокументировать сведения о процедурах, применяемыхпри передаче информациии/илиее носителей от клиента к поставщикууслуг, а также от поставщика услуг — клиенту.
Если поставщик услуг применяет процедуры, соответствующие политике, то клиент должен получать