Elementy wymagań Zarządzania
bezpieczeństwem informacji wg
ISO/IEC 27001 i ISO/IEC 27002
aktywa i bezpieczeństwo fizyczne
dr inż. Bolesław Szomański
b.szomanski@wip.pw.edu.pl
Plan
Zarządzanie aktywami
Zapewnienie bezpieczeństwa fizycznego
Zapewnienie bezpiecznego środowiska
przetwarzania
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(1)
A.7.1 – Odpowiedzialność za aktywa
Cel:
Osiągnięcie i utrzymanie odpowiedniego
poziomu ochrony aktywów organizacji
A.7.1.1 Inwentaryzacja aktywów
Wszystkie aktywa
powinny być
jasno zidentyfikowane
o
a spis wszystkich ważnych aktywów powinien zostać
• sporządzony i
• utrzymywany
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(1)
Zalecenia
Inwentarz aktywów w postaci przydatnej do odtworzenia
aktywu po katastrofie
Własność i klasyfikacja udokumentowana dla
każdego aktywu
Nie powielać innych wykazów
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 1 z 13
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(2)
Przykładowe aktywa
:
aktywa informacyjne:
o
zbiory danych i
o
pliki z danymi,
o
dokumentacja systemu,
o
instrukcje użytkownika,
o
materiały szkoleniowe,
o
procedury eksploatacyjne i
o
wsparcia,
o
plany utrzymania ciągłości działania,
o
przygotowania awaryjne,
o
informacje zarchiwizowane;
aktywa oprogramowania:
o
oprogramowanie aplikacyjne,
o
oprogramowanie systemowe,
o
programy narzędziowe i
o
użytkowe;
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(3)
aktywa fizyczne:
o
sprzęt komputerowy
• procesory,
• monitory,
• laptopy,
• modemy,
o
sprzęt komunikacyjny
• rutery,
• centrale abonenckie,
• telefaksy,
• automatyczne sekretarki,
o
nośniki magnetyczne
• taśmy i
• Dyski
• CD i DVD,
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(4)
o
inny sprzęt techniczny
• zasilacze,
• klimatyzatory,
o
meble,
o
pomieszczenia;
usługi:
o
usługi obliczeniowe i
o
telekomunikacyjne,
o
inne usługi infrastruktury technicznej
• ogrzewanie,
• oświetlenie,
• zasilanie,
• klimatyzacja
.
Ludzie ich kwalifikacje, umiejętności i doświadczenie
Wartości niematerialne takie jak reputacja i wizerunek
organizacji
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(4)
A 7.1.2 Własność aktywów
Wszystkie informacje
i aktywa związane
ze środkami służącymi do przetwarzania informacji
powinny mieć właściciela *
w postaci wyznaczonej części organizacji.
*
Właściciel określa osobę lub podmiot, który ma zatwierdzoną przez zarząd
odpowiedzialność za sterowanie produkcją, rozwój utrzymanie, użytkowanie
i bezpieczeństwo aktywu.
o
Pojęcie to nie oznacza że osoba ta posiada jakiekolwiek własności
do aktywu
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 2 z 13
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(4)
Zaleca się, aby właściciel aktywu był odpowiedzialny za:
zapewnienie, że
o
informacja i aktywa powiązane ze środkami służącymi do przetwarzania
informacji są
o
poprawnie sklasyfikowane;
zdefiniowanie i okresowy
przegląd ograniczeń dostępu oraz klasyfikacji,
o
uwzględniając odpowiednie polityki kontroli dostępu.
Przedmiotem własności może być:
o
proces biznesowy;
o
określony zbiór działań;
o
aplikacja;
o
określony zbiór danych.
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(5)
A 7.1.3. Akceptowalne użycie aktywów
Zasady dopuszczalnego korzystania
z informacji
o
oraz
o
aktywów związanych
• z środkami służącymi do przetwarzania informacji.
powinny zostać
o
określone,
o
udokumentowane i
o
wdrożone
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(5)
Zaleca się, aby wszyscy
o
pracownicy,
o
współpracownicy oraz
o
użytkownicy reprezentujący stronę trzecią
stosowali się do zasad akceptowalnego korzystania z
informacji oraz
aktywów związanych z środkami służącymi do
przetwarzania informacji, w tym:
o
zasad korzystania z poczty elektronicznej i Internetu (patrz
10.8);
7 - Zarządzanie aktywami
7.1 – Odpowiedzialność za aktywa
(6)
zaleceń dotyczących korzystania z urządzeń przenośnych,
o
w szczególności korzystania z nich poza siedzibą organizacji (patrz
11.7.1).
Zaleca się, aby
określone zasady i zalecenia były
wprowadzone przez odpowiednie kierownictwo.
Zaleca się, aby
pracownicy,
współpracownicy oraz
użytkownicy reprezentujący stronę trzecią
korzystający lub
mający dostęp do aktywów organizacji byli świadomi
ograniczeń korzystania z informacji,
zasobów oraz
aktywów związanych ze środkami służącymi do przetwarzania
informacji należących do organizacji.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 3 z 13
7 - Zarządzanie aktywami
7.2 -
Klasyfikacja informacji
(1)
A.7.2 - Cel :
Zapewnianie informacje uzyskują ochronę na
odpowiednim poziomie
A.7.2.1 Wytyczne w zakresie klasyfikacji
Informacje powinny być klasyfikowane
przy uwzględnieniu ich wartości,
wymagań prawnych,
wrażliwości i
krytyczności dla organizacji.
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(2)
Zaleca się
brać pod uwagę wymagania biznesowe dla
o
współużytkowania i
o
ograniczania dostępu do informacji oraz
o
biznesowe konsekwencje wynikające z tych potrzeb.
Zalecanie umiaru przy klasyfikowaniu;
Uwzględnienie zmiany wartości informacji w różnych fazach życia
informacji.
Zaleca się, aby
o
zalecenia do klasyfikacji zawierały
zasady wstępnej klasyfikacji oraz
późniejszych jej modyfikacji;
o
według z góry
ustalonej polityki kontroli dostępu (patrz 11.1.1).
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(2)
Do obowiązków właściciela aktywu (patrz 7.1.2) należy
określenie klasyfikacji aktywu, jej
o
okresowy przegląd oraz
zapewnienie aktualności tej klasyfikacji i właściwego poziomu tej
klasyfikacji.
Zaleca się, aby klasyfikacja brała pod uwagę
efekt agregacji opisany w 10.7.2.
Zaleca się zwrócenie uwagi na
ilość kategorii oraz
korzyści z nich wynikające.
Zaleca się na zwrócenie uwagę na
interpretację oznaczeń pochodzących z innych organizacji
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(2)
A.7.2.2. Oznaczanie i postępowanie z informacją
Odpowiedni zbiór procedur
o
Do oznaczania informacji i
o
postępowania z nimi,
o
Powinien zostać opracowany i wdrożony
• według
o
schematu klasyfikacji
przyjętego w organizacji
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 4 z 13
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(2)
Elektroniczna i
fizyczna postać informacji;
Zaleca się, aby
oznaczanie odzwierciedlało
klasyfikację według zasad wprowadzonych w 7.2.1.
Dotyczy to
drukowanych raportów,
ekranów,
zapisanych nośników (np. taśm, dysków, dysków CD),
wiadomości elektronicznych oraz
przesyłanych plików.
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(2)
Dla każdego poziomu klasyfikacji należy określić
procedury postępowania, które obejmują
o
przetwarzanie,
o
przechowywanie,
o
przesyłanie,
o
zmianę klasyfikacji oraz
o
niszczenie.
Zaleca się także uwzględnienie procedur
tworzenia powiązań uprawnień i
rejestrowania zdarzeń związanych z bezpieczeństwem.
7 - Zarządzanie aktywami
7.2 - Klasyfikacja informacji
(3)
Zaleca się, aby
umowy z innymi organizacjami, które
uwzględniają współużytkowanie informacji,
zawierały procedury opisujące
o
klasyfikację tej informacji oraz
o
umożliwiające interpretację oznaczeń innych organizacji.
Jakie przyjąć oznaczenia?
Nie stosować
• ściśle tajne,
• tajne,
• poufne,
• zastrzeżone lecz
o
tajemnica firmy,
o
tajemnica spółki,
o
poufne firmy,
o
poufne bankowe itp.
9 - Bezpieczeństwo fizyczne i
środowiskowe
A 9.1
Obszary bezpieczne
A 9.2
Zabezpieczenie sprzętu
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 5 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(1)
A.9.1. Obszary bezpieczne
Cel: zapewnienie ochrony przed
nieautoryzowanym dostępem fizycznym,
uszkodzeniami lub
zakłóceniami w siedzibie organizacji oraz
w odniesieniu do informacji.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(2)
A.9.1.1 Granica obszaru zabezpieczanego
Granice obszaru bezpiecznego
o
(bariery, takie jak
• ściany,
• bramki wejściowe na kartę lub
• recepcja z obsługą)
o
powinny być stosowane w celu
o
ochrony obszarów zawierających
o
informacje i
• środki przetwarzania informacji.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(2)
o
wyraźne określenie obszaru zabezpieczanego;
o
solidne konstrukcje budynku lub miejsca,
• gdzie znajdują się urządzenia do przetwarzania informacji;
o
stanowisko recepcyjne obsługiwane przez człowieka lub
• zapewnienie innych środków kontroli fizycznego dostępu;
o
rozciąganie barier fizycznych
• od właściwej podłogi do właściwego sufitu
•
Uwzględnić czynniki środowiskowe, takie jak pożar lub zalanie.
o
Zaleca się, aby wszystkie drzwi pożarowe w obwodzie budynku były
• zabezpieczone alarmem i
• wyposażone w zamek samozatrzaskowy.
• Fizyczne oddzielenie urządzeń przetwarzających informacje firmy i strony
trzeciej
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(3)
A.9.1.2 Fizyczne zabezpieczenie wejścia
obszary bezpieczne
powinny być chronione
przez właściwe zabezpieczenia wejścia
zapewniające, że
tylko autoryzowany personel
ma prawo dostępu
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 6 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(3)
Zalecenia
Nadzór nad gośćmi
w tym rejestrowanie godziny
o
wejścia i wyjścia
Stosowanie zabezpieczeń w tym kart zbliżeniowych
Dostęp do wrażliwych informacji oraz
urządzeń przeważających informacje ograniczony do osób uprawnionych
Przyznawanie personelowi strony trzeciej ograniczonego dostępu i jego
monitorowanie
Zalecenie dla personelu noszenia identyfikatorów
Regularne sprawdzanie praw dostępu
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(4)
A.9.1.3. Zabezpieczenie biur,pomieszczeń i urządzeń
Powinno się
zaprojektować
i stosować
ochronę fizyczną
biur,
pomieszczeń i
urządzeń.
.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(4)
Uwzględnienie przepisów bhp
Najważniejsze urządzenia powinny być rozmieszczane tak, aby
o
uniknąć publicznego do nich dostępu.
budynki powinny być
o
skromne i w
o
minimalnym stopniu
• wskazywać na swoje przeznaczenie,
Książki adresowe i
o
wewnętrzne książki telefoniczne
o
wskazujące usytuowanie urządzeń przetwarzania wrażliwych informacji
o
nie powinny być łatwo dostępne dla osób z zewnątrz
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(5)
A.9.1.4 Ochrona przed zagrożeniami
zewnętrznymi i środowiskowymi
Powinno się opracować i
stosować ochronę fizyczną przed
o
zniszczeniami spowodowanymi przez
• pożar,
• powódź,
• trzęsienie ziemi,
• wybuch,
• niepokoje społeczne i inne
• formy naturalnych lub
• spowodowanych przez człowieka
o
katastrof.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 7 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(7)
Materiały
o
niebezpieczne lub
o
łatwopalne
o
powinny być bezpiecznie składowane
o
w odpowiedniej odległości od obszaru bezpiecznego.
Duże ilości materiałów,
• np. biurowych,
o
nie powinny być przechowywane
o
w pomieszczeniach komputerowych,
o
aż do chwili, kiedy będą potrzebne.
W celu zapobieżeniu skutkom katastrofy w głównej siedzibie,
o
sprzęt zapasowy i
o
nośniki kopii zapasowych
o
powinny być składowane w pomieszczeniach
o
znajdujących się w bezpiecznej odległości.
Umieszczenie sprzętu przeciwpożarowego w odpowiednich miejscach
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(8)
A.9.1.5. Praca w obszarach bezpiecznych
Powinno się
opracować i wdrożyć
mechanizmy ochrony fizycznej oraz
wytyczne pracy
w obszarach bezpiecznych.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(8)
Zalecenia
Personel powinien być poinformowany
o
o istnieniu obszaru bezpiecznego i
o
prowadzonej tam działalności
o
tylko w takim zakresie,
o
w jakim jest to niezbędne.
Powinno się unikać pracy bez nadzoru w obszarach bezpiecznych
Zamykanie i okresowe sprawdzanie obszarów w których nie pracują
ludzie
Niedopuszczenie do korzystania z urządzeń fotograficznych
nagrywających i audio bez upoważnienia
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(11)
A.9.1.6 Obszary publicznego dostępu dostaw i załadunku
Punkty dostępu,
• takie jak obszary
• dostaw i
• załadunku oraz
• inne punkty,przez które
o
nieuprawnione osoby mogą
• wejść do siedziby i,
•
jeśli to możliwe,
•
Powinny być nadzorowane i jeśli to możliwe
• odizolowane od
• środków służących do przetwarzania informacji
• w celu uniknięcia nieautoryzowanego dostępu.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 8 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(11)
Zalecenia
Dostęp z zewnątrz budynku
o
do obszaru magazynowego
o
powinien być ograniczony tylko do
o
zidentyfikowanego,
o
uprawnionego personelu.
Obszar magazynowy powinien być tak zaprojektowany,
o
aby dostawy mogły być rozładowywane bez uzyskiwania przez
personel dostawcy
o
dostępu do innych części budynku.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.1
Obszary bezpieczne
(12)
Zewnętrzne drzwi obszaru magazynowego
• powinny być zabezpieczone
• w czasie,
o
gdy otwarte są
o
drzwi wewnętrzne.
Dostarczane materiały,
o
przed ich przeniesieniem z obszaru magazynowego
o
do miejsca wykorzystania,
o
powinny być sprawdzane pod kątem
o
potencjalnych niebezpieczeństw
Dostarczane materiały powinny być rejestrowane,
o
jeśli zachodzi taka potrzeba
o
na wejściu do siedziby.
Jeśli to możliwe rozdzielenie przychodzących i wychodzących dostaw
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2
Bezpieczeństwo sprzętu
(1)
A.9.2.Cel:
Zapobieganie utracie,
uszkodzeniu lub
naruszeniu aktywów oraz
przerwaniu działalności organizacji
9.2.1. Rozmieszczenie sprzętu i jego ochrona
Sprzęt powinien być
o
rozlokowany i
o
chroniony
•
w taki sposób, aby
o
redukować ryzyko wynikające z
o
zagrożeń i
o
niebezpiecznych czynników środowiskowych
•
oraz
o
możliwości nieautoryzowanego dostępu.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(2)
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 9 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(2)
minimalizowanie ryzyka
o
niepożądanego dostępu do
o
obszarów roboczych;
ograniczenie możliwości braku nadzoru nad użyciem
o
urządzeń przetwarzających informację wrażliwą;
izolowanie elementów wymagających specjalnej ochrony,
o
tak aby ograniczyć wymagany ogólny poziom ochrony.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(3)
zabezpieczenia przed zagrożeniami:
o kradzież;
o pożar;
o materiały wybuchowe;
o dym;
o woda
o lub przerwa w dostawach wody
o
kurz;
o drgania;
o oddziaływanie chemiczne;
o interferencje pochodzące ze źródeł zasilania;
o promieniowanie elektromagnetyczne
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(4)
wprowadzenie zasad dotyczących zakazu
o
jedzenia,
o
picia i
o
palenia tytoniu
•
w pobliżu urządzeń do przetwarzania informacji;
monitorowanie czynników środowiskowych;
Wyposażenie w instalację odgromową i filtry przeciwprzepięciowe
specjalne zabezpieczenia
o
pracy sprzętu
o
w warunkach przemysłowych;
wpływ sąsiedztwa
o
np. możliwość pożaru w sąsiednim budynku.
Ochrona urządzeń przetwarzających informacje wrażliwe przed
wyciekiem informacji związanych z ulotem elektromagnetycznym
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(5)
A.9.2.2. Systemy wspomagające
Sprzęt powinien być chroniony przed
awariami zasilania i
zakłóceniami spowodowanymi
przez awarie
systemów wspomagających.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 10 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(6)
systemy wspomagające, takie jak zasilanie, zaopatrzenie
w wodę, kanalizacja, ogrzewanie/wentylacja oraz
klimatyzacja, odpowiednio dobrać do systemów, które
obsługują.
Zaleca się regularne sprawdzanie tych usługi i, jeśli
trzeba, testowanie, aby funkcjonowały poprawnie i aby
zredukować ryzyko ich awarii lub niepoprawnego
działania
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(7)
zachowanie ciągłości zasilania zapewniają następujące
urządzenia: zwielokrotnienie linii zasilających, zasilacze
awaryjne, generatory;
plany awaryjne uwzględniające działania, które mają być
podjęte w przypadku awarii zasilacza;
jeżeli zainstalowane są generatory, to zaleca się ich
regularne testowanie, zgodnie z zaleceniami producenta;
w razie awarii głównego źródła zasilania zapewnienie
oświetlenia awaryjnego;
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(8)
A.9.2.3. Bezpieczeństwo okablowania
Okablowanie zasilające i telekomunikacyjne
służące do transmisji danych lub
wspomagające usługi informacyjne
powinno być chronione
przed przejęciem lub
uszkodzeniem
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(6)
ochrona linii zasilających i telekomunikacyjnych do urządzeń
przetwarzających informacje (np. prowadzenie pod ziemią);
ochrona linii komunikacyjnych przed podsłuchem lub uszkodzeniem
(np. rury kablowe);
oddzielenie kabli zasilających od kabli telekomunikacyjnych
(zapobieganie interferencji);
dodatkowe zabezpieczenia dla systemów wrażliwych lub krytycznych
(opancerzone rury kablowe, alternatywne trasy rutingu i mediów
transmisyjnych, wykorzystanie okablowania światłowodowego,
wyszukiwanie nieuprawnionych prób podłączania się do urządzeń.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 11 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(7)
A.9.2.4. Konserwacja sprzętu
sprzęt powinien być poprawnie konserwowany
dla zapewnienia jego
ciągłej
dostępności i
integralności
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(7)
konserwacja sprzętu zgodnie z zaleceniami producentów;
naprawy i serwisowanie wykonywane tylko przez
uprawniony personel konserwujący;
rejestrowanie wszystkich awarii lub podejrzeń awarii i
wszystkich działań prewencyjnych oraz napraw;
odpowiednie środki zabezpieczające w przypadku
wysłania sprzętu poza siedzibę (wymazywanie i
nadpisywanie danych);
rozszerzenie polisy ubezpieczeniowej
.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(8)
A.9.2.5. Bezpieczeństwo sprzętu poza siedzibą
Sprzętu pozostający poza siedzibą
powinien być chroniony
przy uwzględnieniu
ryzyk związanych
z pracą
poza siedzibą organizacji.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(8)
niebezpieczeństwa miejsc publicznych (laptopy w bagażu
podręcznym);
zalecenia producentów np. dotyczące ochrony przed
silnym polem elektromagnetycznym;
dodatkowe czynniki ryzyka w przypadku pracy w domu;
o
Opisane też w ISO 18028
ubezpieczenie sprzętu znajdującego się poza siedzibą
.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 12 z 13
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(9)
A.9.2.6. Bezpieczne zbywanie sprzętu lub przekazywanie do
ponownego użycia
Wszystkie składniki sprzętu
zawierające nośniki informacji
powinny być sprawdzone
Aby przed jego zbyciem,
upewnić się,
że jakiekolwiek informacje wrażliwe i
licencjonowane oprogramowanie,
zostały usunięte lub
bezpiecznie nadpisane
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(9)
Zamiast zwykłego usuwania lub
formatowania w urządzeniach zawierających informacje
wrażliwe
zaleca się fizyczne niszczenie,
o
usuwanie lub
o
nadpisywanie informacji
• przy użyciu technik zapewniających, że
o
nie będzie można jej odtworzyć, a
o
nie standardowego usuwania czy formatowania.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(10)
A.9.2.7 Wynoszenie mienia
Sprzęt,
informacje lub
oprogramowanie
nie powinno być wynoszone
bez uprzedniego zezwolenia.
9 - Bezpieczeństwo fizyczne i
środowiskowe
9.2 Bezpieczeństwo sprzętu
(10)
Inne zalecenia:
nie należy wynosić sprzętu, informacji lub
oprogramowania bez wcześniejszej autoryzacji;
jasne określenie pracowników, wykonawców i
użytkowników reprezentujących stronę trzecią, którzy
mają prawo wynoszenia aktywów;
określenie i sprawdzanie czasu zwrotu wynoszonego
sprzętu;
jeśli to potrzebne i właściwe, rejestrowanie kiedy sprzęt
jest wynoszony i kiedy zwracany.
Elementy bezpiecznstwa fizyczne
Bezpieczenstwo teleinformatyczne
WAT
22/04/2007
(c) B.Sz
Strona 13 z 13
Wyszukiwarka
Podobne podstrony:
więcej podobnych podstron