ГОСТ Р ИСО/МЭК 27011-2012
Рекомендация по реализации
Эксплуатируемые системы и прикладное программное обеспечение должны
быть предметом строгого контроля управления изменениями.
В частности, необходимо рассмотреть следующие аспекты:
a) определение и регистрацию существенных изменений;
b
) планирование и тестирование изменений;
c) оценку возможных последствий, включая последствия для безопасности,
таких изменений;
d) формализованную процедуру утверждения предполагаемых изменений;
e) подробное информирование об изменениях всех заинтересованных лиц;
f) процедуры возврата в исходный режим, включая процедуры и обязанности
в отношении отмены и последующего восстановления в случае неудачных
изменений и непредвиденных обстоятельств.
С целью обеспечения уверенности в надлежащем контроле всех изменений в
оборудовании, программном обеспечении или процедурах, должна быть формально
определенаответственностьиразработанысоответствующиепроцедуры
управления. При внесении изменений, вся необходимая информация должна
сохраняться в контрольном журнале.
Рекомендация по реализации, характерная для телекоммуникаций
Телекоммуникационные организации должны рассмотреть процедуры и записи
для установки, перемещения и ликвидации средств.
Дополнительная информация
Неадекватный контроль изменений средств и систем обработки информации -
распространенная причина системных сбоев и инцидентов безопасности. Изменения
эксплуатационной среды, особенно при переходе от стадии разработки к стадии
эксплуатации, могут оказывать влияние на надежность прикладных программ (см.
12.5.1 в ИСО/МЭК 27002).
Изменения эксплуатируемых систем следует проводить только в том случае,
если на это имеется обоснованная причина, затрагивающая бизнес, например,
возрастание риска в отношении системы. Обновление систем новейшими версиями
эксплуатируемой системы или прикладных программ не всегда отвечает интересам
бизнеса, поскольку оно может привнести большее число уязви
нестабильность,чемдействующаяверсия.Могуттакжепотребоваться
43