Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– оборудование следует размещать таким образом, чтобы свести к минимуму доступ в рабочие зоны;
– средства обработки информации, содержащей чувствительные данные, следует размещать таким образом, чтобы уменьшить риск просмотра информации посторонними лицами во время их работы;
– средства хранения следует защищать от несанкционированного доступа;
– для снижения общего уровня требуемой защиты необходимо выделить элементы, требующие специальной защиты;
– меры защиты должны быть внедрены таким образом, чтобы свести к минимуму риск физических
– необходимо установить правила приема пищи, питья и курения вблизи средств обработки информации;
– следует проводить мониторинг состояния окружающей среды по выявлению неблагоприятных условий, таких как температура и влажность, для функционирования средств обработки информации;
– на всех зданиях должна быть установлена защита от молнии, а на входе всех линий электроснабжения и коммуникации – фильтры защиты от молнии;
– оборудование, расположенное в промышленной среде, следует защищать специальными средствами, такими как защитные пленки для клавиатуры;
– оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено от утечки информации из-за электромагнитного излучения.
Вспомогательное оборудование
Меры и средства
Оборудование должно быть защищено от сбоев электропитания и других нарушений, вызванных отказами в работе вспомогательного оборудования.
Рекомендации по реализации
Вспомогательное оборудование (например, связи, электро-, водо-, газоснабжения, канализации, вентиляции, кондиционирования) должно:
– соответствовать рекомендациям изготовителя оборудования и правовым требованиям;
– регулярно оцениваться на предмет поддержки развития бизнеса и взаимодействия с другим вспомогательным оборудованием;
– регулярно проверяться и тестироваться на предмет уверенности в их должном функционировании;
– при необходимости иметь сигнализацию выявления неисправности;
– при необходимости иметь несколько каналов с разной физической маршрутизацией.
Аварийные выключатели и краны электро-, водо-, газоснабжения и другого оборудования необходимо расположить около запасных выходов и помещений, в которых оно находится.
Дополнительное резервирование для сетевых коммуникаций может быть обеспечено по нескольким маршрутам более, чем от одного провайдера.
Кабельная безопасность
Меры и средства
Кабели электропитания и телекоммуникаций, поддерживающие обмен данными и информационные сервисы, должны быть защищены от перехвата, помехи или повреждения.
Рекомендации по реализации
Следует рассмотреть для кабельной безопасности следующие рекомендации:
–
– кабели электропитания и телекоммуникаций должны быть разделены, чтобы избежать взаимных помех;
– для чувствительных или критичных систем дальнейшие меры защиты должны включать:
• использование бронированного кабелепровода и закрытие комнат и боксов на контрольных и конечных точках;
• использование электромагнитного экранирования для защиты кабелей;
• проведение технических чисток и физических проверок кабелей на предмет подключения устройств перехвата;
• контроль доступа к коммутационным панелям и кабельным помещениям.
Обслуживание оборудования
Меры и средства
Оборудование должно правильно обслуживаться для обеспечения его непрерывной доступности и целостности.
Рекомендации по реализации
Следует рассмотреть для обслуживания оборудования следующие рекомендации:
– оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и техническими регламентами;
– техническое обслуживание и ремонт оборудования должны проводиться только уполномоченным персоналом;
– следует хранить записи обо всех неисправностях и всех видах технического обслуживания;
– при планировании технического обслуживания необходимо учитывать, будет ли оно проводиться персоналом организации или за ее пределами; при необходимости, конфиденциальная информация из оборудования должна быть удалена, или специалисты по техническому обслуживанию должны иметь соответствующий допуск;
– все техническое обслуживание, предусмотренное полисом страховки, должно быть выполнено;
– перед введением оборудования в эксплуатацию после технического обслуживания оно должно быть проверено на наличие несанкционированных изменений и некорректной работы.
Перемещение активов
Меры и средства
Оборудование, информация или ПО не должны перемещаться за пределы организации без предварительного разрешения.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации:
– сотрудники и представители сторонних организаций, имеющие право разрешать перемещение активов за пределы организации, должны быть определены;
– сроки отсутствия активов должны быть установлены и проверены на соответствие при их возврате;
– при необходимости факты перемещения активов за пределы организации и их возврата следует регистрировать;
– личность, роль и принадлежность кого-либо, кто обрабатывает или использует активы, должна быть задокументирована, и эта документация возвращена вместе с оборудованием, информацией или ПО.