Документ подготовлен Центром защиты национальной инфраструктуры Centre for the Protection of National Infrastructure (CPNI) при поддержке Британского института стандартов. Как и все британские разработки такого рода, документ потенциально может стать основой международного стандарта и заслуживает серьёзного внимания.
Как отмечается в аннотации, данный стандарт описывает требования к безопасности процесса защищённого уничтожения конфиденциальных материалов - бумаг, электронных носителей информации и прочих объектов, используемых для хранения конфиденциальной информации, такой как медицинские и финансовые документы, исходный код программ - таким образом, что конфиденциальность этой информации сохраняется и тогда, когда эти материалы более не используются.
Стандарт устанавливает процедурные и технические требования к обработке конфиденциальных материалов в процессе уничтожения, целью которых является как предотвращение ошибок, способных привести к утечке этих материалов, так и защита от явных и скрытых атак.
Стандарт может использоваться:
а) Любыми организациями, создающими и обрабатывающими конфиденциальную информацию, такими, как предприятия розничной торговли, банки, благотворительные организации и государственных учреждения;
b) Любыми организациями, которое обрабатывают конфиденциальную информацию и материалы по поручению другого физического лица или организации, такими, как поставщики услуг хранение, хостинга или обработки данных.
c) Поставщиками услуг по защищенному уничтожению.
Приветствуются замечания и предложения как от перечисленных лиц, так и от широкой общественности.
Содержание документа следующее:
1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Обзор процесса и ключевых понятий 5. Обязанности управляющей информацией организации-оператора 6. Обязанности организации, ответственной за хранение физических объектов 7. Обязанности поставщика услуг 8. Необратимое уничтожение конфиденциальных материалов 9. Лица, имеющие доступ к конфиденциальным материалам 10. Оборудование для проведения уничтожения 11. Демонтаж конфиденциальных физических объектов 12. Услуги по уничтожению третьих сторон 13. Перемещение конфиденциальных материалов 14. Доставка конфиденциальных материала к месту уничтожения 15. Хранение обобранных на уничтожение конфиденциальных материалов 16. Защищённые зоны 17. Контейнеры 18. Уровни защищённости от скрытых атак S2 и S3: Пломбы с индикацией вскрытия 19. Реагирование, а также документирование и информирование о несанкционированном доступе и атаках на конфиденциальные материалы 20. Отслеживание конфиденциальных материалов в ходе процесса уничтожения 21. Документы, относящиеся к процессу защищённого уничтожения 22. Декларации о соответствии требованиям Приложения |