34
Если фактическое время события имеет важное значение, то следует рассмотреть возможность использования доверенного времени (см. 5.17).
- Хранение контрольной информации
Хранение контрольной информации — это тема, которая часто не рассматривается в политике управления документами и информацией организации. Поскольку такого рода данные часто создаются автоматически и редко используются, о них забывают и должным образом не контролируют.
Некоторые системы контролируют размер файлов контрольной информации, используя метод циклической перезаписи, при котором устанавливается максимальный размер файла данных и при достижении этого размера новые данные записываются на место самых старых данных в файле. Таким образом, старая контрольная информация теряется.
Контрольная информация должна быть включена в политику в качестве отдельного типа документа.
Контрольная информация должна сохраняться, как минимум, в течение того же периода времени, что и информация, к которой она относится.
- Доступ к контрольной информации
Соответствующим операторам в определенные моменты времени требуетсядоступ к контрольной информации. В некоторых приложениях такой доступ может требоваться лишь в особых случаях, и поэтому важно, чтобы процедуры доступа и интерпретации контрольной информации были задокументированы.
Руководство по процедурам должно описывать, как можно получить доступ к контрольной информации и как ее интерпретировать.
Контрольная информация должна быть доступна для инспекции авторизованным внешним персоналом (например, аудиторами), слабо знакомым или вообще не знакомым с системой.
- Безопасность и защита контрольной информации
Если аутентичность хранимой информации ставится под сомнение, то целостность контрольной информации может оказаться ключевым фактором для установления аутентичности хранимой информации. Уровень защищенности хранимой контрольной информации должен быть достаточным для предотвращения любых изменений в любых данных, входящих в состав контрольной информации.
Контрольная информация должна храниться защищенным образом согласно соответствующей политике информационной безопасности. В отношении контрольной информации должны соблюдаться внутренние правила управления документами, которые, как минимум, должны быть неприменяемы в отношении других важнейших деловых документов организации.
Следуетхранитьзащищенные резервные копии контрольной информации. Этотребование относится к контрольной информации, хранящейся как на электронных носителях, так и на бумаге/микропленке.
Контрольная информация, хранящаяся в доверенной системе управления документами и информацией, должна быть защищена от модификации. В случае использования процедур восстановления файлов следует сохранить контрольную информацию в объеме, достаточном для подтверждения того, что восстановление не повлияло на аутентичность информации.
Для минимизации риска рекомендуется хранить контрольную информацию на WORM-носителях однократной записи. В случае использования перезаписываемых носителей информации необходимо применять дополнительные процедуры для предотвращения внесения изменений. Использование магнитной ленты делает модификацию данных сравнительно затруднительной, поскольку магнитная лента обычно является носителем, запись на который осуществляется последовательно.
Если существует вероятность того, что контрольная информация могла быть модифицирована, то будет сложнее установить аутентичность любой информации, к которой относится эта контрольная информация.
Содержащие контрольную информацию бумажные документы следует чаще убирать с места использования и хранить в защищенном месте. Чем дольше содержащий контрольную информацию документ (например, журнал оператора) остается в относительно небезопасном месте, например, на рабочей станции, тем выше риск внесения в него несанкционированныхизменений. Вслучае документирования контрольной информации на бумажных носителях пользователям необходимо оценить такой риск. При использовании бумажных документов рекомендуется сохранять их копии в доверенной системе управления документами и информацией.
О защите в течение длительного времени с использованием миграции или других методов см. также 7.2.3.
- Контрольная информация по системе
- Общие положения
Такие записи данных в составе контрольной информации включают в себя:
сведения о миграции и конверсии.