7.9 Bezpieczeństwo zasobów poza siedzibą organizacji
Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo fizyczne
Obszary operacyjne: Kontrola
Kontrola
Zasoby znajdujące się poza siedzibą organizacji powinny być odpowiednio chronione.
Cel
Zapobieganie utracie, uszkodzeniu, kradzieży lub kompromitacji urządzeń poza siedzibą organizacji oraz minimalizacja ryzyka zakłócenia działalności organizacji.
Wytyczne
Każde urządzenie używane poza siedzibą organizacji, które przechowuje lub przetwarza informacje (np. urządzenie mobilne), w tym zarówno urządzenia należące do organizacji, jak i prywatne urządzenia wykorzystywane do celów służbowych (BYOD – Bring Your Own Device), wymaga ochrony. Korzystanie z takich urządzeń powinno być autoryzowane przez kierownictwo.
Należy rozważyć następujące wytyczne dotyczące ochrony urządzeń przechowujących lub przetwarzających informacje poza siedzibą organizacji:
- a) niepozostawianie sprzętu i nośników danych bez nadzoru w miejscach publicznych oraz niechronionych;
- b) stosowanie się do instrukcji producenta w zakresie ochrony sprzętu (np. ochrona przed silnymi polami elektromagnetycznymi, wodą, wysoką temperaturą, wilgocią, kurzem);
- c) w przypadku przekazywania urządzeń między różnymi osobami lub zainteresowanymi stronami prowadzenie rejestru określającego łańcuch odpowiedzialności za sprzęt, zawierającego co najmniej imiona, nazwiska i organizacje osób odpowiedzialnych za urządzenie. Informacje, które nie muszą być przekazywane wraz z urządzeniem, powinny zostać bezpiecznie usunięte przed transferem;
- d) tam, gdzie jest to konieczne i praktyczne, wymaganie autoryzacji na wynoszenie sprzętu i nośników danych poza siedzibę organizacji oraz prowadzenie rejestru takich przypadków w celu utrzymania ścieżki audytowej (zob. 5.14);
- e) zabezpieczanie urządzeń przed podglądaniem informacji w miejscach publicznych (np. podczas korzystania z laptopa lub telefonu w transporcie publicznym) oraz minimalizowanie ryzyka ataków typu „shoulder surfing”;
- f) wdrożenie funkcji śledzenia lokalizacji oraz możliwości zdalnego usuwania danych z urządzeń.
Trwałe instalacje sprzętowe znajdujące się poza siedzibą organizacji (np. anteny, bankomaty – ATM) mogą być bardziej narażone na uszkodzenia, kradzież lub podsłuch. Ryzyko może się znacznie różnić w zależności od lokalizacji i powinno być brane pod uwagę przy określaniu najodpowiedniejszych środków ochronnych.
Należy rozważyć następujące wytyczne dotyczące lokalizacji tego typu sprzętu poza siedzibą organizacji:
- a) monitorowanie bezpieczeństwa fizycznego (zob. 7.4);
- b) ochrona przed zagrożeniami fizycznymi i środowiskowymi (zob. 7.5);
- c) kontrola dostępu fizycznego i zabezpieczenie przed manipulacją;
- d) kontrola dostępu logicznego.
Inne informacje
Więcej informacji na temat ochrony urządzeń przechowujących i przetwarzających informacje oraz urządzeń końcowych użytkowników można znaleźć w rozdziałach 8.1 i 6.7.