ГОСТ Р ИСО МЭК 17799 (1027767), страница 20
Текст из файла (страница 20)
Приэтом обеспечивается возможность контроля нового программного обеспечения и дополнительнаязащита операционной информации, используемой в процессе тестирования.10.5.2 Технический анализ изменений в операционных системахПериодически возникает необходимость внести изменения в операционные системы, например,установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, чтоне оказывается никакого неблагоприятного воздействия на их функционирование и безопасность.
Необходимо, чтобы этот процесс учитывал:- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;- обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривает анализи тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;- обеспечение своевременного поступления уведомлений об изменениях в операционной системедля возможности проведения соответствующего анализа их влияния на информационную безопасностьперед установкой изменений в операционную систему;- контроль документирования соответствующих изменений в планах обеспечения непрерывностибизнеса (раздел 11).10.5.3 Ограничения на внесение изменений в пакеты программМодификаций пакетов программ следует избегать.
Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесенияизменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:- риск компрометации встроенных средств контроля и процесса обеспечения целостности;- необходимость получения согласия поставщика;- возможность получения требуемых изменений от поставщика в виде стандартного обновленияпрограмм;- необходимость разработки дополнительных мер поддержки программного обеспечения, еслиорганизация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.В случае существенных изменений оригинальное программное обеспечение следует сохранять, аизменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностьютестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.10.5.4 Скрытые каналы утечки данных и «троянские» программыРаскрытие информации через скрытые каналы может происходить косвенными и неавторизованными способами.
Этот процесс может быть результатом активации изменений параметров доступа как кзащищенным, так и к незащищенным элементам информационной системы, или посредством вложенияинформации в поток данных. «Троянские» программы предназначены для того, чтобы воздействоватьна систему неавторизованным и незаметным способом, при этом данное воздействие осуществляетсякак на получателя данных, так и на пользователя программы. Скрытые каналы утечки и «троянские» программы редко возникают случайно.
Там, где скрытые каналы или «троянские» программы являются проблемой, необходимо применять следующие мероприятия по обеспечению информационнойбезопасности:- закупку программного обеспечения осуществлять только у доверенного источника;- по возможности закупать программы в виде исходных текстов с целью их проверки;46- использовать программное обеспечение, прошедшее оценку на соответствие требованияминформационной безопасности;- осуществлять проверку исходных текстов программ перед их эксплуатационным применением;- осуществлять контроль доступа к установленным программам и их модификациям;- использование проверенных сотрудников для работы с ключевыми системами.10.5.5 Разработка программного обеспечения с привлечением сторонних организацийВ случаях, когда для разработки программного обеспечения привлекается сторонняя организация,необходимо применять следующие меры обеспечения информационной безопасности:- контроль наличия лицензионных соглашений и определенности в вопросах собственности напрограммы и соблюдения прав интеллектуальной собственности (12.1.2);- сертификацию качества и правильности выполненных работ;- заключение «escrow» соглашения, предусматривающих депонирование исходного текста на случай невозможности третьей стороны выполнять свои обязательства;- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;-документирование требований к качеству программ в договорной форме;- тестирование перед установкой программ на предмет обнаружения «Троянского коня».11 Управление непрерывностью бизнеса11.1 Вопросы управления непрерывностью бизнесаЦель: противодействие прерываниям бизнеса и защита критических бизнес-процессов от последствий при значительных сбоях или бедствиях,Необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности (которые могут бытьрезультатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренныхдействий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных мероприятий по управлению информационной безопасностью.Последствия от бедствий, нарушений безопасности и отказов в обслуживании необходимо анализировать, Необходимо разрабатывать и внедрять планы обеспечения непрерывности бизнеса с цельювосстановления бизнес-процессов в течение требуемого времени при их нарушении.
Такие планы следует поддерживать и применять на практике, чтобы они стали составной частью всех процессовуправления.Необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлениюинформационной безопасностью для идентификации и уменьшения рисков, ограничения последствийразрушительных инцидентов и обеспечения своевременного возобновления наиболее существенныхбизнес-операций.11.1.1 Процесс управления непрерывностью бизнесаНеобходимо, чтобы существовал управляемый процесс развития и поддержания непрерывностибизнеса для всей организации.
Этот процесс должен объединять ключевые элементы управлениянепрерывностью бизнеса:- понимание рисков, с которыми сталкивается организация, с точки зрения вероятности возникновения и последствий, включая идентификацию и определение приоритетов критических бизнес-процессов;- понимание возможных последствий нарушения бизнес-процессов в случае незначительных илисущественных инцидентов, потенциально угрожающих жизнедеятельности организации, а также выбора средств и способов обработки информации, которые соответствовали бы целям бизнеса;-организацию оптимального страхования результатов обработки информации, которое должнобыть частью процесса обеспечения непрерывности бизнеса;- формулирование и документирование стратегии непрерывности бизнеса в соответствии с согласованными бизнес-целями и приоритетами;-формулирование и документирование планов обеспечения непрерывности бизнеса в соответствии с согласованной стратегией;- регулярное тестирование и обновление планов развития информационных технологий и существующих процессов;- обеспечение органичного включения в процессы и структуру организации планов управлениянепрерывностью бизнеса.
Ответственность за координацию процесса управления непрерывностью47бизнеса следует возлагать на орган, обладающий соответствующими полномочиями в организации,например на управляющий совет по информационной безопасности (4.1.1).11.1.2 Непрерывность бизнеса и анализ последствийНеобходимо, чтобы планирование непрерывности бизнеса начиналось с идентификации событий,которые могут быть причиной прерывания бизнес-процессов, например отказ оборудования, наводнение или пожар.
Планирование должно сопровождаться оценкой рисков с целью определения последствий этих прерываний (как с точки зрения масштаба повреждения, так и периода восстановления).Оценку рисков необходимо осуществлять при непосредственном участии владельцев бизнес-ресурсови участников бизнес-процессов. Оценка риска должна распространяться на все бизнес-процессы и неограничиваться только средствами обработки информации.В зависимости от результатов оценки рисков необходимо разработать стратегию для определенияобщего подхода к обеспечению непрерывности бизнеса. Разработанный план должен быть утвержденруководством организации.11.1.3 Разработка и внедрение планов обеспечения непрерывности бизнесаСледует разрабатывать планы по поддержке или восстановлению бизнес-операций в требуемыепериоды времени после прерывания или отказа критических бизнес-процессов.
Необходимо, чтобыплан обеспечения непрерывности бизнеса предусматривал следующие мероприятия по обеспечениюинформационной безопасности:- определение и согласование всех обязанностей должностных лиц и процедур на случай чрезвычайных ситуаций;- внедрение в случае чрезвычайных ситуаций процедур, обеспечивающих возможность восстановления бизнес-процессов в течение требуемого времени, Особое внимание следует уделять оценкезависимости бизнеса от внешних факторов и существующих контрактов;- документирование согласованных процедур и процессов;- соответствующее обучение сотрудников действиям при возникновении чрезвычайных ситуаций,включая кризисное управление;- тестирование и обновление планов обеспечения непрерывности бизнеса.Необходимо, чтобы план обеспечения непрерывности бизнеса соответствовал требуемым целямбизнеса, например восстановлению определенных сервисов для клиентов за приемлемый промежутоквремени.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
