ГОСТ Р ИСО/МЭК 17799-2005; Страница 50

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 50

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

- регистрации и аудита действий, связанных с управлением ключами.

Для уменьшения вероятности компрометации необходимо, чтобы ключи имели определенные

датыактивизациии дезактивации, чтобы ихможнобылобыиспользоватьвтечениеограниченногопери

ода времени, которыйзависитотобстоятельств использования криптографическихсредств, контроля и

от степени риска раскрытия информации.

Может потребоваться наличие процедуробработки юридическихзапросов, касающихсядоступа к

криптографическим ключам, например, чтобы зашифрованная информация стала доступной в неза

шифрованной форме для доказательств в суде.

В дополнение к вопросу безопасности управления секретными и личными ключами необходимо

учитывать необходимость обеспечения защиты открытых ключей. Существует угроза подделывания

цифровой подписи и заменыоткрытого ключа пользователя своим. Эта проблема решается с помощью

сертификата открытых ключей. Сертификаты необходимо изготовлять таким способом, который одно

значно связывал бы информацию, относящуюся к владельцу пары открытого/секретиого ключей, с

открытым ключом. Поэтому важно, чтобы процессу управления, в рамках которого формируются эти

сертификаты, можно было доверять. Этот процесс обычно выполняется органом сертификации, кото

рый должен быть признанной организацией, руководствующейся соответствующими правилами и

процедурами информационной безопасности для обеспечения требуемой степени доверия к нему.

Необходимо, чтобы содержание соглашений с внешними поставщиками криптографических

средств, например с органом сертификации, включало требования по ответственности, надежности

средств и времени реагирования на запросы по их предоставлению (4.2.2).

10.4Безопасность системных файлов

Цель: обеспечение модернизации информационныхсистем и действий поих поддержкебезопас

ным способом.

В процессе эксплуатации бизнес-приложений необходимо контролировать доступ к системным

файлам.

Пользователи или разработчики, которым принадлежит прикладная система или программное

обеспечение, должны быть ответственными за целостность системы.

10.4.1 Контроль программного обеспечения, находящегося в промышленной эксплуатации

Необходимо обеспечивать контроль за процессом внедрения программного обеспечения в про

мышленную эксплуатацию. Чтобы свести к минимуму риск повреждения систем, находящихся в про

мышленной эксплуатации, целесообразно использовать следующие мероприятия по обеспечению

информационной безопасности:

- обновление библиотек программ следует выполнять только назначенному специалисту — биб

лиотекарю при соответствующей авторизации его обязанностей руководством (10.4.3);

- по возможности, системы, находящиеся в промышленнойэксплуатации, должны состоятьтолько

из исполнимых программных кодов;

- исполняемую программуне следуетвнедрятьв промышленную эксплуатациюдотехпор, пока не

получены подтверждения ее успешноготестирования и принятия пользователями, а также не обновле

ны соответствующие библиотеки исходных текстов программ;

- необходимо, чтобы журнал аудита регистрировал все обновления библиотек программ, находя

щихся в промышленной эксплуатации;

- предыдущие версиипрограммногообеспеченияследуетсохранятьдля восстановлениясистемы

в случае непредвиденных обстоятельств.

Необходимо, чтобы программное обеспечение, используемое в промышленной эксплуатации,

поддерживалось на уровне, заданном разработчиком. При любом решении провести обновление до

уровня новой версииследуетприниматьво вниманиебезопасностьданнойверсии: какиеновыефункци

ональные возможностиобеспечения информационной безопасностионаимеет илиимеютсялисерьез

ные проблемы обеспечения безопасности, связанные с этой версией. Целесообразно использовать

программные модификации (патчи), если они могут закрыть или снизить угрозы безопасности.

Физический или логическийдоступ предоставляетсяпоставщикам (разработчикам), по мере необ

ходимости, только для поддержки программного обеспечения при наличии разрешения руководства.

При этом действия поставщика (разработчика) должны контролироваться.

10.4.2 Защита тестовых данных

Данныетестированияследуетзащищать иконтролировать. Для осуществления системногои при

емочноготестирования требуются существенныеобъемы тестовыхданных, которые максимальнопри

ближены к операционным данным. Следует избегать использования баз данных, находящихся в

промышленной эксплуатации и содержащих личную информацию. Если такая информация требуется