4.6 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+======================+======================+=======================================================+=====================+ | #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke_beveiliging #Beheer_van_be- drijfsmiddelen | #Bescherming | +------------------------+----------------------+----------------------+-------------------------------------------------------+---------------------+
Beheersmaatregel
Onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt.
Doel
Het lekken van informatie via af te voeren of te hergebruiken apparatuur voorkomen.
Richtlijn
Voorafgaand aan verwijdering of hergebruik behoort te worden gecontroleerd of apparatuur opslagmedia bevat.
Opslagmedia die vertrouwelijke of door auteursrecht beschermde informatie bevatten, behoren, in plaats van met de standaard 'delete'-functie te worden gewist, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met gebruikmaking van technieken die het onmogelijk maken de oorspronkelijke informatie terug te halenie 7 voor gedetailleerde richtlijnen over het veilig verwijderen van opslagmedia en 8 voor richtlijnen over het wissen van informatie.
Labels en markeringen waarmee de organisatie wordt geïdentificeerd of die de classificatie, de eigenaar, het systeem of het netwerk aangeven, behoren voorafgaand aan het verwijderen, waaronder begrepen doorverkopen of aan een goed doel schenken, van de opslagmedia te worden verwijderd.
De organisatie behoort te overwegen beveiligingsbeheersmaatregelen zoals toegangsbeveiligingsmaatregelen of bewakingsapparatuur aan het einde van de huurovereenkomst of bij verhuizing uit het gebouw te verwijderenit is afhankelijk van factoren zoals:
a) de huurovereenkomst om de faciliteit in de oorspronkelijke staat terug te brengen;
b) het minimaliseren van het risico dat systemen met gevoelige informatie erop worden achtergelaten voor de volgende huurder (bijvijsten van welke gebruikers toegang hebben gehad, video- of beeldbestanden);
c) de mogelijkheid om de beheersmaatregelen in de volgende faciliteit opnieuw te gebruiken.
Overige informatie
Voor beschadigde apparatuur die opslagmedia bevat, kan een risicobeoordeling nodig zijn om vast te stellen of het desbetreffende onderdeel van de apparatuur fysiek behoort te worden vernietigd in plaats van te worden gerepareerd of verwijderdnformatie kan worden gecompromitteerd door onzorgvuldige verwijdering of door hergebruik van apparatuur.
Naast zorgvuldig wissen van de schijf vermindert codering van de volledige schijf het risico op openbaarmaking van vertrouwelijke informatie als de apparatuur van de hand wordt gedaan of opnieuw wordt ingezet, mits:
a) de codering voldoende sterk is en de gehele schijf omvat (met inbegrip van 'slack space', swap-
bestanden);
b) de cryptografische sleutels lang genoeg zijn om met grove middelen uitgevoerde aanvallen te
weerstaan;
c) de cryptografische sleutels vertrouwelijk worden behandeld (bijvooit op dezelfde schijf worden
bewaard).
Zie voor verder advies over cryptografie 8.
De technieken voor het op beveiligde wijze overschrijven van opslagmedia verschillen afhankelijk van de opslagmediatechnologie en het classificatieniveau van de informatie op de opslagmediaverschrijvingsinstrumenten behoren te worden beoordeeld om er zeker van te zijn dat ze geschikt zijn voor de technologie van het opslagmedium.
Zie ISO/IEC 27040 voor nadere informatie over methoden om opslagmedia leeg te maken.