ГОСТ Р ИСО/ТО 13569-2007; Страница 39

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13496.15-97 Корма, комбикорма, комбикормовое сырье. Методы определения содержания сырого жира Forages, compound feeds, raw material for compound feeds. Methods for determining the raw fat content (Настоящий стандарт распространяется на все виды растительных кормов, комбикормов, комбикормовое сырье (за исключением минерального сырья, дрожжей кормовых и паприна), муку животного происхождения и устанавливает методы определения сырого жира, представляющего смесь триглицеридов жирных кислот и сопутствующих веществ (свободные жирные кислоты, спирты, альдегиды, провитамины, пигменты, стерины, эфирные масла и др.), извлекаемых органическими растворителями) ГОСТ Р 53073-2008 Лампы натриевые высокого давления. Эксплуатационные требования High-pressure sodium vapour lamps. Performance requirements (Настоящий стандарт устанавливает эксплуатационные требования для натриевых ламп высокого давления для общего освещения, удовлетворяющих требованиям безопасности по ГОСТ Р 52713. Стандарт устанавливает размеры ламп, электрические параметры для зажигания и работы ламп, а также содержит информацию для расчета пускорегулирующего аппарата, зажигающего устройства и светильника) ГОСТ Р 53340-2009 Приборы геодезические. Общие технические условия Geodetic instruments. General specifications (Настоящий стандарт распространяется на геодезические приборы и устанавливает их классификацию, технические требования и методы испытаний. Настоящий стандарт не распространяется на приборы, применяемые для производства маркшейдерских, гидрометеорологических и гидрографических работ )

Страница 39

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569—2007

12.4 Внешние поставщики услуг

Финансовые учреждения требуют, чтобы к предоставляемым извне критическим услугам, например,

к обработке данных, финансовым операциям, сетевым услугам и созданию программного обеспечения,

применялись защитные меры и защита информации такого же уровня, что и в самой организации. Контрак

ты с внешними поставщиками услуг должны включать в себя элементы, необходимые для

убеждения финансового учреждения в том. что:

- поставщики подчиняются практическим приемам и политике безопасности организации;

-отчеты, подготовленные консалтинговой бухгалтерской фирмой поставщиков, доступны органи

зации:

- внутренние аудиторыорганизации имеют право проводить аудиты поставщиков, связанные с проце

дурами и защитными мерами организации:

- поставщики подчиняются условным соглашениям о поставленных системах, продукции или

услугах.

Вдополнение к вышеизложенному, специалисты конкретного финансового учреждения должны про

вести независимую финансовую проверку поставщика услуг до заключения с ним контракта.

До получения гарантийного письма, подтверждающего наличие защитных мер информационной

безопасности. деловых отношений с поставщиком услугбыть недолжно. Руководитель службы обеспече

ния информационной безопасности должен проверить программу обеспечения безопасности поставщика

услугдля определения, согласуется ли она с программой организации. Любые разногласия должны разре

шаться путем обсуждения условий с поставщиком услуг либо посредством процесса принятия риска в

организации.

Вдополнение к требованиям информационной безопасностидоговоры с поставщиками услугдолжны

включать всебя требования о неразглашении информации и четкоеопределение ответственности заубыт

ки. являющиеся следствием недостатков в обеспечении информационной безопасности.

12.5 Группы тестирования на проникновение в компьютерные системы

Использование специалиста по тестированию на проникновение (как правило, подрядчика)для оцен

ки эффективности безопасности системы посредством попытки проникновения в систему с ведома и при

согласии соответствующего должностного лица организации является одной из предпосылок создания

доверия к программе обеспечения безопасности.

По мере усложнения компьютерныхсистем поддержаниебезопасности становится все более затруд

нительным. Использование групп тестирования на проникновение может содействовать обнаружению сла

бых мест в системе организации. Однако необходимо учитывать некоторыедополнительные вопросы. Под

рядчикдолжен быть связан соответствующими обязательствами или обладать достаточными возможнос

тями для выполнения любых обязательств, возникающим в результате егодействий.

Для контроля за своей программой обеспечения безопасности организация не должна полагаться

только на отчеты тестирования на проникновение.

Проблема неразглашения результатовтестирования должна бытьрешена в контракте со специалиста

ми по тестированию на проникновение. Любое разглашение проблемы безопасности должно осущест

вляться по усмотрению организации.

12.6 Криптографические операции

Развитие ИТ значительно усложнило традиционные методы контроля информации. Популяризация

криптографических устройств предоставила финансовым учреждениям возможность вновьдостичь ранее

установленного уровня безопасности, связанного с банковскимделом, с учетом усовершенствования тех

нологии обработки информации.

Как в случае с любой новой технологией, существует опасность неправильного использования крип

тографических методов решения проблем обеспечения безопасности. Важно, чтобы организации принима

ли адекватные решения по выбору, использованию и постоянномуоцениванию своих защитных мер. осно

ванных на применении криптографии.

Предполагается, что потребность в криптографических защитных мерах общепризнана. В защитных

мерах, предлагаемых в разделах 9—15, используются шифрование, коды аутентификации сообщений и

цифровая подпись. Для каждой из этих мер также требуется разделение ключей и оказание услуг по их

сертификации.

Криптографические защитные меры могут противодействовать угрозам нарушения конфиденциаль

ности и целостности информации. Криптографические защитные меры, такие как шифрование и аутен

тификация. требуют сохранения секретности определенного материала, например криптографических

ключей.