Skip to main content

7.7 Czyste biurko i czysty ekran

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo fizyczne
Obszary operacyjne: Kontrola

Kontrola

Zasady dotyczące czystego biurka (dla dokumentów papierowych i nośników danych) oraz czystego ekranu (dla urządzeń przetwarzających informacje) powinny zostać określone i odpowiednio egzekwowane.

Cel

Ograniczenie ryzyka nieautoryzowanego dostępu, utraty oraz uszkodzenia informacji pozostawionych na biurkach, ekranach oraz w innych dostępnych miejscach zarówno w czasie, jak i poza godzinami pracy.

Wytyczne

Organizacja powinna ustanowić i przekazać wszystkim zainteresowanym stronom politykę dotyczącą czystego biurka i czystego ekranu.

Należy rozważyć następujące wytyczne:

  • a) zabezpieczanie poufnych lub krytycznych informacji biznesowych (np. dokumentów papierowych lub elektronicznych nośników danych) poprzez ich przechowywanie w zamykanych szafach, sejfach lub innych bezpiecznych miejscach, zwłaszcza gdy biuro jest opuszczane;
  • b) zabezpieczanie urządzeń końcowych użytkowników za pomocą zamków na klucze lub innych środków ochrony, gdy nie są używane lub pozostają bez nadzoru;
  • c) wylogowywanie się z urządzeń końcowych użytkowników lub aktywowanie blokady ekranu i klawiatury wymagającej uwierzytelnienia użytkownika w przypadku ich pozostawienia bez nadzoru. Wszystkie komputery i systemy powinny być skonfigurowane tak, aby po określonym czasie następowało automatyczne wylogowanie;
  • d) odbieranie wydruków z drukarek i urządzeń wielofunkcyjnych natychmiast po ich wykonaniu. Warto stosować drukarki z funkcją uwierzytelniania, które umożliwiają wydruk dopiero w obecności użytkownika;
  • e) bezpieczne przechowywanie dokumentów oraz nośników danych zawierających informacje wrażliwe oraz ich niszczenie w sposób zgodny z polityką bezpiecznej utylizacji, gdy nie są już potrzebne;
  • f) ustanowienie i przekazanie zasad dotyczących konfiguracji powiadomień ekranowych (np. wyłączanie wyskakujących okienek z nowymi wiadomościami e-mail i komunikatorów, jeśli to możliwe, podczas prezentacji, udostępniania ekranu lub w miejscach publicznych);
  • g) usuwanie poufnych lub krytycznych informacji z tablic suchościeralnych i innych form wyświetlania, gdy nie są już potrzebne.

Organizacja powinna posiadać procedury na wypadek opuszczania obiektów, w tym przeprowadzanie końcowego przeglądu pomieszczeń, aby upewnić się, że żadne aktywa organizacji nie zostały pozostawione (np. dokumenty, które mogły upaść za szuflady lub meble).

Inne informacje

Brak dodatkowych informacji.