ГОСТ Р ИСО ТО 13569-2007; Страница 38

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 38

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

12.4 Внешние поставщики услуг

Финансовые учреждения требуют, чтобы к предоставляемым извне критическим услугам, например,

к обработке данных, финансовым операциям, сетевым услугам и созданию программного обеспечения,

применялись защитные меры и защита информации такого же уровня, что и в самой организации. Контрак

ты с внешними поставщиками услуг должны включать в себя элементы, необходимые для

убеждения финансового учреждения в том. что:

- поставщики подчиняются практическим приемам и политике безопасности организации;

-отчеты, подготовленные консалтинговой бухгалтерской фирмой поставщиков, доступны органи

зации:

- внутренние аудиторы организации имеют право проводить аудиты поставщиков, связанные с проце

дурами и защитными мерами организации;

- поставщики подчиняются условным соглашениям о поставленных системах, продукции или

услугах.

Вдополнение к вышеизложенному, специалисты конкретного финансового учреждениядолжны про

вести независимую финансовую проверку поставщика услуг до заключения с ним контракта.

До получения гарантийного письма, подтверждающего наличие защитных мер информационной

безопасности, деловых отношений с поставщиком услугбыть недолжно. Руководитель службы обеспече

ния информационной безопасности должен проверить программу обеспечения безопасности поставщика

услугдля определения, согласуется ли она с программой организации. Любые разногласия должны разре

шаться путем обсуждения условий с поставщиком услуг либо посредством процесса принятия риска в

организации.

Вдополнение к требованиям информационной безопасностидоговоры с поставщиками услугдолжны

включать всебя требования о неразглашении информации и четкоеопределение ответственности за убыт

ки. являющиеся следствием недостатков в обеспечении информационной безопасности.

12.5 Группы тестирования на проникновение в компьютерные системы

Использование специалиста по тестированию на проникновение (как правило, подрядчика)для оцен

ки эффективности безопасности системы посредством попытки проникновения в систему с ведома и при

согласии соответствующего должностного лица организации является одной из предпосылок создания

доверия к программе обеспечения безопасности.

По мере усложнения компьютерныхсистем поддержаниебезопасности становится все более затруд

нительным. Использование групп тестирования на проникновение может содействовать обнаружению сла

бых мест в системе организации. Однако необходимо учитывать некоторыедополнительные вопросы. Под

рядчикдолжен быть связан соответствующими обязательствами или обладать достаточными возможнос

тямидля выполнения любых обязательств, возникающим в результате егодействий.

Для контроля за своей программой обеспечения безопасности организация не должна полагаться

только на отчеты тестирования на проникновение.

Проблема неразглашения результатовтестирования должна бытьрешена в контракте со специалиста

ми по тестированию на проникновение. Любое разглашение проблемы безопасности должно осущест

вляться по усмотрению организации.

12.6 Криптографические операции

Развитие ИТ значительно усложнило традиционные методы контроля информации. Популяризация

криптографических устройств предоставила финансовым учреждениям возможность вновьдостичь ранее

установленного уровня безопасности, связанного с банковскимделом, с учетом усовершенствования тех

нологии обработки информации.

Как в случае с любой новой технологией, существует опасность неправильного использования крип

тографических методов решения проблем обеспечения безопасности. Важно, чтобы организации принима

ли адекватные решения по выбору, использованию и постоянномуоцениванию своих защитных мер. осно

ванных на применении криптографии.

Предполагается, что потребность в криптографических защитных мерах общепризнана. В защитных

мерах, предлагаемых в разделах 9—15, используются шифрование, коды аутентификации сообщений и

цифровая подпись. Для каждой из этих мер также требуется разделение ключей и оказание услуг по их

сертификации.

Криптографические защитные меры могут противодействовать угрозам нарушения конфиденциаль

ности и целостности информации. Криптографические защитные меры, такие как шифрование и аутен

тификация. требуют сохранения секретности определенного материала, например криптографических

ключей.