ГОСТ Р ИСО/МЭК 17799-2005; Страница 51

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 51

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

длятестирования, то передиспользованием следуетудалитьличную информацию (деперсонифициро-

вать ее). Для защиты операционных данных, когда они используются для целей тестирования, необхо

димо применять следующие мероприятия по обеспечению информационной безопасности:

- процедуры контролядоступа, применяемыедля прикладныхсистем, находящихся в промышлен

ной эксплуатации, следует также применять и к прикладным системам в среде тестирования;

- при каждом копировании операционной информации для прикладной системы тестирования

предусматривать авторизацию этих действий;

- после того, кактестирование завершено, операционную информацию следует немедленно уда

лить из прикладной системы среды тестирования;

- копирование и использование операционной информации необходимо регистрировать в журна

ле аудита.

10.4.3 Контроль доступа к библиотекам исходных текстов программ

Для снижения риска искажения компьютерных программ необходимо обеспечивать строгий кон

троль доступа к библиотекам исходных текстов программ, для чего:

- по возможности, исходные библиотеки программ следует хранить отдельно от бизнес-приложе

ний. находящихся в промышленной эксплуатации;

- назначать специалиста — библиотекаря программ для каждого бизнес-приложения;

- персоналу поддержки информационных технологий не следует предоставлять неограниченный

доступ к исходным библиотекам программ;

- программы, находящиеся в процессе разработки или текущего обслуживания, не следует хра

нить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации;

- обновление библиотек и обеспечение программистов исходными текстами следует осущес

твлять только назначенному специалисту — библиотекарю после авторизации, полученной от менед

жера. отвечающего за поддержку конкретного бизнес-приложения:

- листинги программ следует хранить в безопасном месте (8.6.4);

- следует вести журнал аудита для всех доступов к исходным библиотекам;

- старые версии исходных текстов необходимо архивировать с указанием точных дат и времени,

когда они находилисьв промышленной эксплуатации, вместе со всем программным обеспечением под

держки. управления заданиями, определениями данных и процедурами.

- поддержку и копирование исходных библиотек следует проводить под строгим контролем с

целью предотвращения внесения неавторизованных изменений (10.4.1).

10.5 Безопасность в процессах разработки и поддержки

Цель: поддержание безопасности прикладных систем и информации.

Менеджеры, ответственные за прикладные системы, должны быть ответственными и за безопас

ность среды проектирования или поддержки. Они должны проводить анализ всех предложенных изме

нений системы и исключать возможность компрометации безопасности как системы, так и среды

промышленной эксплуатации.

10.5.1 Процедуры контроля изменений

Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать

внедрение изменений — строго придерживаться формализованных процедур обеспечения информа

ционной безопасности; осуществлять контроль за возможной компрометацией самих процедур: про

граммистам. отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые

необходимыдля ихработы; обеспечиватьформализацию иодобрениесоответствующим руководством

всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информацион

ную безопасностьиспользуемыхбизнес-приложений. Там, где этовозможно, следует объединять меры

по обеспечению информационной безопасности используемых бизнес-приложений и изменений в

прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал:

- обеспечение протоколирования согласованных уровней авторизации;

- обеспечение уверенности в том. что запросы на изменения исходятот авторизованных соответ

ствующим образом пользователей;

- анализмеринформационной безопасности и процедур, обеспечивающихцелостностьиспользу

емых систем;

- идентификацию всегопрограммногообеспечения, информации, объектов, базданных иаппарат

ных средств, требующих изменений;

- получениеформализованногоодобрениядетальныхзапросов/предложенийнаизменения перед

началом работы;