ГОСТ Р ИСО/МЭК ТО 13335-4—2007
2 Управление резервами
Организация должна управлять резервами для предупреждения возникновения сбоев из-за недо
статка ресурсов. При оценке резервов, необходимых для системы ИТ. должны упитываться будущие и
текущие требования к резервам.
3Документация
Все аспекты операций и конфигураций ИТдолжны быть задокументированы для обеспечения их не
прерывности и последовательности. Безопасностьсистемы ИТдолжна быть оформлена документально в
политике обеспечения безопасности ИТ. вдокументации, регламентирующей операционные процедуры
безопасности, отчетах и планах по бизнес-стратегии организации. Этадокументациядолжна быть актуали
зирована и доступна уполномоченному персоналу.
4 Техническое обслуживание
Организация должна проводить техническое обслуживание оборудования ИТ для обеспечения его
постоянной надежности, доступности и целостности. Требования по обеспечению безопасности, которые
должны соблюдать подрядчики при выполнении технического обслуживания, должны быть документально
оформлены и записаны в соответствующих контрактах. Техническое обслуживание должно проводиться в
соответствии с контрактом с привлечением квалифицированного персонала.
5 Мониторинг изменений, связанных сбезопасностью
Организация должна проводить мониторинг изменений воздействий, угроз, уязвимостей и риска, а
также связанных с ними характеристик безопасности. Мониторингдолжен включать всебя существующие и
новые аспекты. Организациядолжна проводить мониторинг окружающей среды, в которой расположена
система ИТ.
6 Записи аудита и регистрация
Аудиторские и регистрирующиеспособности серверов (регистрация записей аудита и анализ средств),
сетей (аудитаппаратно-программныхсредств межсетевой защиты и маршрутов) и приложений (аудиторс
кие средства систем передачи сообщений или обработка транзакций)должны использоваться для записи
подробностей событий, относящихся к обеспечению безопасности. Эти события включают в себя легко
опознаваемые несанкционированные или ошибочные события и подробности очевидных нормальныхсо
бытий. которые могут потребоваться для дальнейшего анализа. Записи аудита и журналы регистрации
должны регулярноанализироватьсядля обнаружения несанкционированнойдеятельности и принятия соот
ветствующих корректирующих мер. События, зарегистрированные вжурналах, должны также анализиро
ваться на повторяемость аналогичных событий, которые указывают на присутствие уязвимостей или угроз,
против которых еще не приняты адекватные защитные меры. Такой анализ может выявлять шаблоны в
очевидных несвязанных событиях, которые позволяют идентифицировать лиц. занимающихся несанкцио
нированнойдеятельностью. или определять основные причины проблем, связанных с безопасностью.
П р и м е ч а н и е — В настоящем стандарте термины «аудиторские способности» систем и приложений, и
«регистрирующие способности» применяются в одном и том же смысле. В то время подобные способности могут
быть использованы для поддержки проведения более широких финансовых аудитов.
7Тестирование безопасности
Организация должна проводить тестирование безопасностидля обеспечения безопасногофункцио
нирования всего оборудования ИТ и связанных с ним компонентов программного обеспечения. Должна
проводиться проверка соответствия требованиям, установленным в политике обеспечения безопасности
системы ИТ и планах проведения тестирования (испытаний), а также установлены критерии, позволяющие
демонстрироватьдостижение необходимого уровня безопасности.
8Управление носителями информации
Управление носителями информации включает в себя разнообразные защитные меры, обеспечиваю
щие защиту (физическую и в окружающей среде), а также возможность подотчетности дисхет. дисков,
выводов на печать и в другую среду передачи информации. Управление может включать маркировку,
регистрацию, верификацию целостности, защиту физическогодоступа, защиту от воздействия окружаю
щей среды, процесс передачи и безопасное уничтожение носителей информации.
9 Обеспечение стирания памяти
Конфиденциальность ранее записанной в запоминающем устройстве информациидолжна быть со
хранена. даже если эта информация больше не требуется. Должно бытьобеспечено стирание или физичес-
4— 1774
11