ГОСТ Р ИСО/МЭК 17799-2005; Страница 23

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 23

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

8 Управление передачей данных и операционной деятельностью

8.1 Операционные процедуры и обязанности

Цель: обеспечение уверенности в надлежащем и безопасном функционировании средств обра

ботки информации.

Должны быть установлены обязанности и процедуры по управлению и функционированию всех

средств обработки информации. Они должны включать разработку соответствующих операционных

инструкций и процедуры реагирования на инциденты.

С целью минимизации риска при неправильном использовании систем вследствие небрежности

или злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).

8.1.1 Документальное оформление операционных процедур

Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как

официальныедокументы, документироваться и строго соблюдаться, аизменения к ним должны санкци

онироваться и утверждаться руководством.

Процедуры содержат детальнуюинструкциювыполнения конкретногозадания(работы) ивключают:

- обработку и управление информацией;

- определение требований в отношении графика выполнения заданий, включающих взаимосвязи

между системами; время начала выполнения самого раннего задания и время завершения самого

последнего задания;

- обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течение

выполнения заданий, включая ограничения на использование системных утилит (9.5.5);

- необходимые контакты на случай неожиданных операционных или технических проблем;

- специальные мероприятия по управлению выводом данных, например, использование специ

альной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденци

альной информации, включая процедуры для безопасной утилизации выходных данных, не

завершенных в процессе выполнения заданий;

- перезапуск системы и процедуры восстановления в случае системных сбоев.

Документированные процедуры должны бытьтакже разработаны в отношенииобслуживания сис

тем обработкииобмена информацией, вчастности процедурызапуска и безопасного завершения рабо

ты компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования,

обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным

оборудованием.

8.1.2 Контроль изменений

Изменения конфигурации в средствах и системах обработки информации должны контролиро

ваться надлежащим образом. Неадекватныйконтрольизмененийсредствисистемобработкиинформа

ции — распространенная причина системных сбоев и инцидентов нарушения информационной

безопасности. С целью обеспечения надлежащего контроля всех изменений в оборудовании, програм

мном обеспечении или процедурах должны быть определены и внедрены формализованные роли,

ответственности и процедуры. При изменении программного обеспечения вся необходимая информа

ция должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной сре

ды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл,

процедуры управления изменениями в операционной среде и в приложениях должны быть

интегрированы (см. также 10.5.1). В частности, необходимо рассматривать следующие мероприятия:

- определение и регистрация существенных изменений;

- оценка возможных последствий таких изменений;

- формализованная процедура утверждения предлагаемых изменений;

- подробное информирование об изменениях всех заинтересованных лиц;

- процедуры, определяющиеобязанностипопрерываниюи восстановлениюработы средствисис

тем обработки информации, в случае неудачных изменений программного обеспечения.

8.1.3 Процедуры в отношении инцидентов нарушения информационной безопасности

Обязанности и процедуры по управлению в отношении инцидентов должны быть определены для

обеспечения быстрой, эффективной и организованной реакции на эти нарушения информационной

безопасности (6.3.1). При этом необходимо рассмотреть следующие мероприятия:

а) должны быть определены процедуры в отношении всех возможных типов инцидентов

нарушения информационной безопасности, в том числе:

1) сбои информационных систем и утрата сервисов;

2) отказ в обслуживании: