Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»
Аудит физической защиты и защиты от воздействия окружающей среды
жүктеу/скачать 82,41 Kb.
|
Правила внутреннего аудита ок
| Аудит физической защиты и защиты от воздействия окружающей среды
Информационные системы, поддерживающие критически важные или уязвимые сервисы организации, должны быть размещены в защищенных областях, защищены физически от несанкционированного доступа, повреждения и помех. Следует разместить в защищенных областях, ограниченных определенным периметром безопасности, с надлежащим контролем доступа в помещения и защитными барьерами. Физическая защита должна быть основана на определенных периметрах безопасности и обеспечиваться путем установки в организации ряда барьеров, расположенных в стратегических местах. В защищенных областях следует установить надлежащий контроль доступа в помещения, для доступа персонала, имеющего соответствующие полномочия. Серверные помещения, поддерживающие критически важные сервисы, должны иметь надежную физическую защиту. Сотрудникам запрещается выносить оборудование, данные и программы за пределы организации без письменного разрешения руководства. Необходимо обеспечить физическую защиту оборудования от угроз нарушения безопасности и опасностей, представляемых окружающей средой. Защита оборудования информационных систем необходима для снижения риска несанкционированного доступа к данным их потерю или повреждение. Оборудование информационных систем должно быть размещено и защищено, для уменьшения риска, связанного с воздействием окружающей среды и несанкционированным доступом. Оборудование необходимо защищать от сбоев в системе электропитании и других неполадок в электрической сети. Следует рассмотреть необходимость использования резервного источника питания. Необходимо рассмотреть меры по защите сетевых кабелей от их несанкционированного вскрытия для целей перехвата данных и от повреждения, например, воспользовавшись экранами или проложив эти линии так, чтобы они не проходили через общедоступные места. Необходимо осуществлять надлежащее техническое обслуживание оборудования, для обеспечения его постоянной доступности и целостности. Надежная утилизация оборудования. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что конфиденциальные данные и лицензированное программное обеспечение было удалено. Также необходимо проверить требования по выполнению работ и услуг в серверном помещении и по организации вспомогательных услуг. Рекомендуется выделить помещение для разгрузки и загрузки материалов и оборудования для того, чтобы уменьшить вероятность несанкционированного доступа в серверные помещения. Требования к безопасности такого помещения следует определить, исходя из оценки рисков. Использование оборудования информационных систем (независимо от того, кто им владеет), поддерживающих производственные процессы, за пределами организации должно быть санкционировано руководством; уровень защиты такого оборудования должен быть таким же, как и для оборудования, расположенного на территории организации. Следует всегда соблюдать инструкции производителя, касающиеся защиты оборудования, например, защищать оборудование от воздействия сильных электромагнитных полей. жүктеу/скачать 82,41 Kb. Достарыңызбен бөлісу:
|