ГОСТ Р ИСО/МЭК 17799-2005; Страница 52

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 52

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

- разрешение внесения изменений в прикладные программы авторизованным пользователем до

их непосредственной реализации;

- осуществлениепроцесса внедрения изменений вприкладныепрограммы сминимальными отри

цательными последствиями для бизнеса;

- обеспечение обновления комплекта системной документации после завершения каждого изме

нения и архивирование или утилизация старой документации;

- поддержку контроля версий для всех обновлений программного обеспечения;

- регистрацию в журналах аудита всех запросов на изменение;

- коррекцию эксплуатационнойдокументации (8.1.1)и пользовательских процедур всоответствии

с внесенными изменениями;

- осуществление процесса внедрения изменений в согласованное время без нарушения затраги

ваемых бизнес-процессов.

Во многих организациях используется среда, в которой пользователи тестируют новое програм

мное обеспечение и которая отделена от среды разработки исреды промышленной эксплуатации. При

этом обеспечивается возможность контроля нового программного обеспечения и дополнительная

защита операционной информации, используемой в процессе тестирования.

10.5.2 Технический анализ изменений в операционных системах

Периодически возникает необходимость внести изменения в операционные системы, например,

установитьпоследнюю поддерживаемую версию программного обеспечения. В этихслучаях необходи

мо провестианализипротестировать прикладныесистемы с цельюобеспечения уверенности втом. что

неоказываетсяникакогонеблагоприятного воздействиянаихфункционированиеи безопасность. Необ

ходимо. чтобы этот процесс учитывал:

- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уве

ренность в том, что они не были скомпрометированы изменениями в операционной системе;

- обеспечениеуверенностив том. чтоежегодныйплан поддержкиибюджет предусматривает анализ

и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;

- обеспечениесвоевременного поступленияуведомленийобизмененияхв операционнойсистеме

для возможностипроведениясоответствующегоанализаих влияниянаинформационную безопасность

перед установкой изменений в операционную систему;

- контрольдокументирования соответствующих изменений в планах обеспечения непрерывности

бизнеса (раздел 11).

10.5.3 Ограничения на внесение изменений в пакеты программ

Модификаций пакетов программ следует избегать. Насколько это возможно идопустимо с практи

ческой точкизрения, поставляемыепоставщиком пакеты программ следуетиспользоватьбез внесения

изменений. Там. где все-таки необходимо вносить изменения в пакет программ, следует учитывать:

- риск компрометации встроенных средств контроля и процесса обеспечения целостности;

- необходимость получения согласия поставщика;

- возможность получения требуемых изменений от поставщика в виде стандартного обновления

программ;

- необходимость разработки дополнительных мер поддержки программного обеспечения, если

организация в результате внесенных изменений станетответственной за будущее сопровождение про

граммного обеспечения.

В случае существенныхизменений оригинальное программноеобеспечение следует сохранять, а

измененияследуетвноситьвчеткоидентифицированную копию. Всеизменениянеобходимополностью

тестироватьидокументироватьтакимобразом, чтобы их можнобыло повторно использовать, при необ

ходимости. для будущих обновлений программного обеспечения.

10.5.4 Скрытые каналы уточки данных и «троянские» программы

Раскрытие информации через скрытые каналы может происходить косвенными и неавторизован

ными способами. Этот процессможетбытьрезультатом активацииизменений параметровдоступа как к

защищенным, так и к незащищенным элементам информационнойсистемы, или посредством вложения

информации в поток данных. «Троянские» программы предназначены для того, чтобы воздействовать

на систему неавторизованным и незаметным способом, при этом данное воздействие осуществляется

какна получателяданных, так и на пользователяпрограммы. Скрытые каналы утечкии «троянские» про

граммы редко возникаютслучайно. Там. гдескрытые каналы или «троянские» программы являютсяпро

блемой. необходимо применять следующие мероприятия по обеспечению информационной

безопасности;

- закупку программного обеспечения осуществлять только у доверенного источника;

- по возможности закупать программы в виде исходных текстов с целью их проверки;