ГОСТ Р ИСО/МЭК 17799-2005; Страница 25

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 25

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных про

блем. например нежелательных изменений файлов или системной среды, а также системных сбоев.

При этом следует обеспечивать необходимый уровень разделения между средами промышленной экс

плуатации по отношению к средам тестирования, а такжо для предотвращения операционных сбоев.

Аналогичное разделение следует также реализовывать между функциями разработки и тестирования.

В этом случае необходимо поддерживать в рабочем состоянии отдельную среду, в которой следует

выполнятькомплексноетестированиесизвестнойстабильностьюипредотвращать

несанкционированный доступ со стороны разработчиков.

Там. где сотрудники, отвечающие за разработкуи тестирование, имеютдоступ ксистеме иданным

среды промышленной эксплуатации, они имеют возможность установить неавторизованную и непро-

тестированную программу или изменить данные в операционной среде. Применительно к ряду систем

эта возможность могла бы быть использована с целью злоупотребления, а именно для совершения

мошенничестваили установки непротестированной или вредоносной программы. Непротестированное

или вредоносное программное обеспечение можетбыть причиной серьезныхпроблем в операционной

среде. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз для

безопасности операционной информации и системы.

Крометого, если разработка итестирование производятсяв одной компьютернойсреде, этоможет

стать причиной непреднамеренных изменений программного обеспечения и информации. Разделение

сред разработки, тестирования и эксплуатации является, следовательно, целесообразным для умень

шения рискаслучайногоизменения или неавторизованногодоступа кпрограммномуобеспечению ибиз

нес-данным среды промышленной эксплуатации. Необходиморассматриватьследующие мероприятия

по управлению информационной безопасностью:

- программное обеспечениедля разработки иэксплуатации, по возможности, должно работать на

различных компьютерных процессорах или в различных доменах или директориях;

- действия по разработке и тестированию должны быть разделены, насколько это возможно;

- компиляторы, редакторы идругие системные утилиты недолжны бытьдоступны в операционной

среде без крайней необходимости;

- чтобы уменьшить риск ошибок, для операционных и тестовых систем должны использоваться

различные процедурырегистрации (входа всистему). Пользователямследуетрекомендоватьпримене

ние различных паролейдля этихсистем, а в их экранных менюдолжны показываться соответствующие

идентификационные сообщения;

- разработчики могут иметь доступ к паролям систем операционной среды только в том случае,

если внедрены специальные мероприятия по порядку предоставления паролей для поддержки среды

промышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.

8.1.6Управление средствами обработки информации сторонними лицами и/или организа

циями

Использованиесторонних подрядчиковдляуправления средствами обработки информации явля

ется потенциальной угрозой для безопасности, поскольку возникает возможность компрометации,

поврежденияили потериданныхворганизации подрядчика. Такие рискидолжны бытьидентифицирова

ны заранее, асоответствующие мероприятия поуправлению информационнойбезопасностью согласо

ваны с подрядчиком ивключены в контракт (4.2.2 и4.3 в отношении руководств по контрактам с третьей

стороной, предусматривающихдоступ к средствам обработки информации организации и в отношении

контрактов по аутсорсингу).

В этих условиях требуется решение специальных вопросов:

- идентификация важных или критических бизнес-приложений, которые лучше оставить в органи

зации;

- получение одобрения владельцев коммерческих бизнес-приложений;

- оценка влияния на планы обеспечения непрерывности бизнеса;

- определение перечня стандартов безопасности, которыедолжны быть включены в контракты, и

процедур проверки выполнения их требований;

- распределение конкретных обязанностей и процедурдля эффективного мониторинга всех при

меняемых видов деятельности, связанных с информационной безопасностью;

- определение обязанностей ипроцедур вотношении информирования иуправления процессами

ликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).

8.2 Планирование нагрузки и приемка систем

Цель: сведение к минимуму риска сбоев в работе систем.