ГОСТ Р ИСО/МЭК 17799-2005; Страница 46

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 46

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

быть критичными сточки зрения безопасности. Требования к безопасности следует идентифицировать

и согласовывать до разработки информационных систем.

Все требования безопасности, включая необходимые мероприятия по переходу на аварийный

режим, следуетидентифицироватьна стадииопределениязадачпроекта, а также обосновывать, согла

совывать и документировать в рамках общего проекта по внедрению информационной системы.

10.1.1 Анализ и спецификация требований безопасности

Необходимо, чтобы в формулировкахтребованийбизнеса вотношении новых систем или усовер

шенствования существующих систем были учтены требования информационной безопасности. При

этомследуетучитыватькаквозможностивстроенныхвсистемуавтоматизированныхсредств обеспече

ния информационной безопасности, так и необходимость применения организационных мероприятий

поуправлениюинформационнойбезопасностью или разработкуспециальныхсредств. Аналогичносле

дуетподходитькоценкепакетовприкладных программ. Какправило, руководстводолжнообеспечивать

использование сертифицированных программных продуктов или продуктов, прошедших независимую

оценку.

Требования безопасности и соответствующие мероприятия по обеспечению информационной

безопасности должны учитывать ценность информационных активов, потенциальный ущерб бизнесу,

который может стать результатом неэффективности или отсутствия мер безопасности. Оценка и управ

ление рисками — основа для анализа требований к безопасности и определения необходимых мероп

риятий по управлению информационной безопасностью.

Планирование мероприятий по обеспечению информационной безопасности на стадии проекти

рования системы позволяетсущественноснизить затраты на ихвнедрение иподдержкупо сравнению с

разработкой соответствующих мероприятий во время или после внедрения системы.

10.2 Безопасность в прикладных системах

Цель: предотвращение потерь, модификации или неправильного использования пользователь

ских данных в прикладных системах.

Соответствующие мероприятия по обеспечению информационной безопасности, включая функ

ции аудита или протоколированиедействий пользователя, необходимо предусматривать в прикладных

системах, включая приложения, написанные самими пользователями. Эти меры должны включать в

себяобеспечение функциональностиподтверждениякорректности ввода, обработки ивыводаданных.

Дополнительные мероприятия по обеспечению информационной безопасности могут потребо

ваться для систем, которые обрабатывают или оказывают воздействие на важные, ценные или крити

ческие активы организации, и их необходимо определять наоснове требований безопасности иоценки

рисков.

10.2.1 Подтверждение корректности ввода данных

Необходимообращатьособое вниманиенакорректность входныхданныхдля прикладныхсистем.

При вводе бизнес-транзакций, постоянныхданных (имена иадреса, кредитные лимиты, идентификаци

онные номера клиентов) итаблиц параметров (цены продаж, курсы валют, ставки налогов)следуетпри

менять проверку корректности ввода для обеспечения уверенности в их соответствии исходным

данным. Для этого целесообразно применение следующих мероприятий по обеспечению информаци

онной безопасности:

а) проверки исключения двойного ввода или другие проверки ввода с целью обнаружения

следующих ошибок:

1) значений, выходящих за допустимый диапазон:

2) недопустимых символов в полях данных;

3) отсутствующие или неполные данные;

4) превышение верхних и нижних пределов объема данных;

5) неавторизованные или противоречивые контрольные данные;

б) периодический анализ (просмотр) содержимого ключевых полей или файлов данных для

подтверждения их достоверности и целостности:

в) сверка твердых (печатных) копий вводимых документов с вводимыми данными на пред

мет выявлениялюбых неавторизованныхизмененийэтихданных (необходимо, чтобы все измененияво

вводимых документах были авторизованы);

г) процедуры реагирования на ошибки, связанные с подтверждением данных:

д) процедуры проверки правдоподобия вводимых данных;

е) определение обязанностей всех сотрудников, вовлеченных в процесс ввода данных.