ГОСТ Р ИСО ТО 13569—2007
Пароли могут бытьдинамическими (например, генерируемые и изменяемые автоматически и, часто,
программными средствами) либо статическими (например, редко изменяемые по усмотрению пользовате
ля). Рекомендации по формированию и контролю за использованием паролей можно найти во многих пуб
ликациях и в сети. Например «Рекомендации по управлению паролями Министерства обороны США» от 12
апреля 1985 г.(CSC-STD-002-85) [23] предоставляют техническую трактовку генерации, контроля и исполь
зования паролей в организации. Обсуждение на сайте
http://computing.fnal.gov/security/UserGuide/
password.htm [24] предоставляет более общую трактовку темы об использовании паролей и включает в
себя дискуссию о составе и длине, изменении, хранении паролей и их совместном использовании.
9.3.4.4 Биометрия
Биометрия является методом идентификации людей по некоторым физическим характеристикам, ко
торые могутбыть измерены ис высокой степенью вероятности являютсяуникальнымидля человека. Отпе
чатки пальцев являются наиболее известными биометрическими данными. Существуют электронные уст
ройства. способные считывать отпечаток пальца и сравнивать его с отпечатком, уже хранящимся всисте
ме.Другие физические характеристики, которые могут быть использованы в биометрической системе иден
тификации. включают в себя узор сетчатки глаза, геометрию ладони, черты лица и голос.
Способы осуществления менеджмента биометрической информации в сфере финансовых услуг в
качестве части программы менеджмента информационной безопасности организации представлены в ИСО
19092 [25]. Настоящий стандарт устанавливает цели контроля, меры управления и подробные требования к
журналу регистрации событий управления биометрической информацией и результатов контроля.
9.4Журнал аудита
Журнал аудита представляет собой журнал, создаваемый системой записи осуществленной дея
тельности. используемый организацией каксредство восстановления событий и ведения подотчетности.
Информация, содержащаяся вжурнале аудита, необходима для разрешения проблем или спорое, а также
для предоставления свидетельств о соответствии требованиям информационной безопасности. Журнал
аудита способствует ограничению несанкционированной деятельности, и обеспечивает раннее обнаруже
ние подобной деятельности. Все системы записи должны обеспечивать определенную степеньдетализа
ции журнала аудита в соответствии с политикой организации. Более того, уровень детализации должен
быть как можно более высоким и согласовываться с практическими потребностями и политикой организа
ции. По возможности, регистрация вжурнале аудитадолжна обеспечивать предупреждение ответственно го
лица в режиме реального времени о важных событиях, связанных с безопасностью.
Система аудитадолжна сообщатьо любой подозрительнойдеятельности содействия ограничению и
обнаружению несанкционированной деятельности и способствовать их быстрому расследованию. Анализ
информации журнала аудита должен проводиться регулярно (обычно ежедневно) руководством, и все ис
ключительные и необычные ситуации, связанные с безопасностью, должны расследоваться и оформлять ся
в виде отчета.
Информация журнала аудита должна храниться в течение периода времени, соответствующего тре
бованиям бизнеса. Информация должна быть защищена от случайного или преднамеренного удаления,
модификации или фальсификации.
9.5 Контроль за внесением изменений
Для защиты целостности средств обработки информации организации необходимо внедрять процеду
ры контроля за внесением изменений. Отсутствие такого контроля может привести к финансовым убыткам
или падению продуктивности из-за неправильных технологических процессов или невыполненного обслу
живания. Для изменений аппаратных средств, изменений средств программирования, включая приложе
ния и управление патчами для операционных систем, а также изменений неавтоматизированных процедур,
должны существовать процедуры контроля таких изменений. Процедуры контроля после внесения
измене ний должны также включать в себя управление такими изменениями в чрезвычайных ситуациях.
Управляющие делами должны обеспечивать надлежащие процессы контроля за внесением измене
ний в системы, находящиеся под их управлением. Группа обеспечения информационной безопасности
должна быть готова коказанию помощи в управлении связанных с безопасностью изменениями и
измене ниями систем безопасности, за управление которыми непосредственно отвечает группа
информационной безопасности.
9.6 Осведомленность об информационной безопасности
Частью программы обеспечения информационной безопасности должна быть программа по повыше
нию осведомленности о безопасности с целью обучения служащих организации мерам защиты ценной
информации. Программа предназначена оказывать позитивное влияние на отношение сотрудников к ин
формационной безопасности. Повышение осведомленности сотрудников о безопасности должно осуще
ствляться постоянно.
22