ГОСТ Р ИСО/МЭК 27011-2012
должна учитывать риски, когда она полагается на неподдерживаемое программное
обеспечение.
Любое решение об обновлении программного обеспечения до новой версии
должно учитывать требования бизнеса в отношении изменения и безопасности
новой версии, т. е., введение новых функциональных возможностей безопасности
или количество и серьезность проблем безопасности, связанных с этой версией.
Исправления (патчи) программного обеспечения следует применять, если они
помогаютудалятьилиснижатьуязвимостибезопасности(см.12.6.1в
ИСО/МЭК 27002).
Физический или логический доступ следует предоставлять поставщикам
только для целей поддержки, по мере необходимости и на основании разрешения
руководства. Действия поставщика должны подвергаться мониторингу.
Программное обеспечение компьютеров может использовать поставляемые
внешним (иностранным) поставщиком программное обеспечение и модули, которые
должны быть контролируемы и управляемы во избежание несанкционированных
которые могут
Рекомендация по реализации, характерная для телекоммуникаций
Телекоммуникационные организации должны сводить к минимуму риск
повреждениянаходящихсявэксплуатациисистем,учитываяследующие
рекомендации по контролю за изменениями:
a) если прикладные программы и операционное программное обеспечение
должны быть установлены на чувствительных системах, таких как коммутационный
комплексы, то следует провести тестирование с полным охватом маршрута;
b
) если прикладное программное обеспечение является чувствительным, то
следует сохранять, по крайней мере, три поколения программного обеспечения.
Дополнительная информация
Эксплуатируемую систему следует обновлять только при необходимости,
например, если текущая версия эксплуатируемой системы больше не удовлетворяет
требованиям бизнеса. Обновления не следует проводить только потому, что
доступна новая версия для эксплуатируемой системы. Новые версии систем,
находящихся в промышленной эксплуатации, могут быть менее безопасными, менее
стойкими и менее понятными, чем текущие системы.
57