ГОСТ Р ИСО/МЭК 17799—2005
12.1.7.3 Качество и полнота доказательств
Чтобыдостичькачестваи полноты свидетельств, необходимоналичиеубедительныхподтвержде
ний свидетельств. В общем случае, такие убедительныеподтверждения могутбытьдостигнуты следую
щим образом:
- для бумажных документов: оригинал хранится безопасным способом и фиксируется, кто нашел
его. гдеонбыл найден, когдаон был найден икто засвидетельствовал обнаружение. Необходимо, чтобы
любое исследование подтвердило, что оригиналы никто не пытался исказить;
- для информации на компьютерных носителях: копии информации, для любых сменных носите
лей информации, для жестких дисков или из основной памяти компьютера, следует выполнять таким
образом, чтобы обеспечить их доступность. Журнал всех действий, выполненных в течение процесса
копирования, необходимо сохранять, а сам процесс копирования необходимо документировать. Одну
копию носителей информации и журнал следует хранить безопасным способом.
Когдаинцидентобнаруживается впервые, неочевидно, чтоон можетпривести квозможнымсудеб
ным разбирательствам. Поэтому, существует опасность, что необходимое показание будет случайно
разрушено прежде, чем осознана серьезность инцидента. Целесообразно на самом раннем этапе при
влекать юриста или милицию в любом случае предполагаемых судебных разбирательств и получать
консультацию относительно требуемых свидетельств.
12.2Пересмотр политики безопасности и техническое соответствие требованиям безопас
ности
Цель: обеспечение соответствия систем политике безопасности организации и стандартам.
Безопасность информационных систем необходимо регулярно анализировать и оценивать.
Такойанализ(пересмотр)необходимоосуществлятьв отношениисоответствующихполитикбезо
пасности, а программные средства и информационные системы должны подвергаться аудиту на пред
мет соответствия этим политикам.
12.2.1 Соответствие политике безопасности
Руководители должны обеспечивать правильное выполнение всех процедур безопасности в пре
делах их зоны ответственности. Кроме того, все сферы деятельностиорганизации необходимо подвер
гать регулярномупересмотру дляобеспечения требований пообеспечению информационной безопас
ности. При этом, кроме функционирования информационных систем, анализу должна подвергаться
также деятельность:
- поставщиков систем;
- владельцев информации и информационных активов;
- пользователей;
- руководства.
Владельцам информационныхсистем (5.1)следуетпроводитьрегулярныемониторинги ихсистем
на соответствие принятым политикам безопасности и любым другим требованиям безопасности.
Вопросы мониторинга использования систем рассмотрены в 9.7.
12.2.2 Проверка технического соответствия требованиям безопасности
Проверка техническогосоответствия включает испытанияоперационныхсистемдля обеспечения
уверенности в том. что мероприятия по обеспечению информационной безопасности функционирова
нияаппаратныхи программныхсредств быливнедрены правильно. Этоттип проверкисоответствиятре
бует технической помощи специалиста. Данную проверку следует осуществлять вручную (при помощи
соответствующих инструментальных ипрограммныхсредств, при необходимости) опытномусистемно
му инженеру или с помощью автоматизированного пакета программ, который генерирует технический
отчет для последующего анализа техническим специалистом.
Проверка соответствия также включает тестирование на наличие попыток несанкционированного
доступа к системе (проникновение), которое может быть выполнено независимыми экспертами, специ
ально приглашенными по контрактудля этого. Данное тестирование может бытьполезнымдля обнару
жения уязвимостей в системе и для проверки эффективности мер безопасности при предотвращении
неавторизованного доступа вследствие этих уязвимостей. Особую осторожность следует проявлять в
случаях, когдатестнапроникновение может привестик компрометации безопасностисистемы инепред
намеренному использованию других уязвимостей.
Любая проверка технического соответствия должна выполняться только компетентными, автори
зованными лицами либо под их наблюдением.
53