ГОСТ Р ИСО/МЭК 18045-2013; Страница 228

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 228

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Результаты посещения обьекта документируются и служат исходными данными для окончательной версии

отчета об оценке относительно класса доверия ALC.

Следует рассмотреть иные подходы получения уверенности, предоставляющие эквивалентный уровень до

верия (например проанализировать свидетельства оценки). Решение об отмене посещения обьекта следует при

нимать после консультации с органом оценки. Приемлемые критерии безопасности и методология должны основы

ваться на других стандартах области систем управления информационной безопасностью.

А.4.3 Примерное руководство по подготовке контрольного листа проверок

Ниже приводятся некоторые ключевые слова и темы, которые должны быть проверены при проведении

аудита.

А.4.3.1 Аспекты управления конфигурацией

Базовые аспекты

- Пункты списка конфигурации, включая ОО. исходный код. подключаемые программные библиотеки (библи

отеки времени исполнения), проектная документация, средства разработки (ALC_CMC.3-8).

- Прослеживание проектной документации, исходного кода, руководства пользователя к различным версиям ОО.

- Интеграция системы конфигурации в процесс проектирования и разработки, разработки планов испыта

ния, проведения тестовых проверок и процедур управления качеством.

Тестовые проверки

- Прослеживание планов проведения испытаний и результатов тестирования к конкретным настройкам

и версиям ОО.

- Управление доступом к системам разработки

- Политики управления доступом и ведения журналов.

- Политики назначения и изменения прав доступа, специфические для данного проекта.

- Перевод ОО в исходное состояние

- Политики перевода ОО в исходное состояние и руководство пользователя, предоставляемое пользователю ОО.

- Политика для тестирования и одобрения компонентов ОО и самого ОО перед развертыванием.

А.4.3.2 Аспекты безопасности разработки

Инфраструктура

- Меры безопасности при организации физического контроля доступа на участок разработки и обоснование

эффективности этих мер.

Организационные меры

- Организационная структура компании по отношению к безопасности среды разработки.

- Организационное разделение процессов разработки, производства, тестирования и обеспечения качества.

Меры безопасности, связанные с персоналом

- Меры по обучению персонала аспектам безопасности разработки.

- Меры и юридические соглашения о неразглашении внутренней конфиденциальной информации.

Управление доступом

- Назначение защищаемых объектов (для ОО. исходного кода, подключаемым программным библиотекам

(библиотекам времени исполнения), проектной документации, средств разработки, пользовательского руковод

ства) и политик безопасности.

- Политики и обязанности в отношении управления доступом и обработки аутентифицирующей информации.

- Политики занесения в журнал факта любою доступа к участку разработки и защиты данных этих журналов.

Ввод, обработка и вывод данных

- Меры безопасности для защиты устройств ввода/вывода (принтеров, плоттеров и мониторов).

- Обеспечение защиты локальной сети и коммуникаций.

Хранение, передача и уничтожение документов и данных

- Политики обращения с документами и данными.

- Политики и обязанности по уничтожению рассортированных документов и занесение в журнал этих событий.

Защита данных

- Политики и обязанности по защите информации (например по выполнению резервных копий).

План непрерывности бизнес-процессов

- Применяемые действия и обязанности персонала в случав возникновения чрезвычайной ситуации.

- Документация мер управления доступом в условиях чрезвычайной ситуации.

- Информация для персонала о применяемых действиях в условиях чрезвычайной ситуации.

А.4.4 Пример контрольного листа проверки

Примеры контрольных списков проверки при выезде на обьект представлены в таблицах для подготовки

к аудиту и для представления результатов аудита.

Представленная ниже структура контрольного листа проверки является неокончательным вариантом. В за

висимости от конкретного содержания новых руководств может потребоваться внесение изменений в эту структуру.

В контрольном списке выделяют три подраздела согласно темам, обозначенным во Введении (пункт А.4.1

данною приложения):

a) Система управления конфигурацией.

) Процедуры поставки.

c) Меры безопасность во время разработки.

Эти разделы соответствуют классу ALC актуального ИСО/МЭК 15408. в особенности семействам «Возмож

ности УК» (ALC_CMC).n. где п 2:3. «Поставка» (ALCJ3EL) и «Безопасность разработки» (ALC_DVS).

223