ГОСТР ИСО/МЭКТО 13335-4—2007
кая перезапись файлов, содержащих конфиденциальный материал, или онидолжны бытьуничтоженыдру
гим способом, так какфункциястирания не всегда гарантирует полное уничтожение информации. Средства
для полного и безопасного стирания, одобренные ответственным персоналом {например, специалистом по
безопасности), должны быть предоставлены в распоряжение пользователей.
10 Распределение ответственности и полномочий
Для минимизации риска и возможности для злоупотребления полномочиями, организация должна
распределить ответственность и полномочия. В частностидолжны быть разделены обязанности ифункции,
которые в комбинации могут привести к обходу защитных мер или аудитов или чрезмерному преимуще
ствудля работника.
11 Корректное использование программного обеспечения
Организация должна обеспечивать невозможность несанкционированного повторного копирования
печатных материалов и выполнение лицензионных соглашений в отношении прав собственника программ
ного обеспечения.
12 Управление изменениями программного обеспечения
Организациядолжна управлять изменениями программного обеспечения для поддержания его цело
стности в случае внесения изменений (управление изменениями программного обеспечения должно при
меняться только к программному обеспечению, вто время как управление конфигурацией и изменениями,
описанное в соответствующей категории обеспечения безопасности, должно применяться к системам ИТ и
их окружению в целом). Должны быть установлены процедуры управления изменениями программного
обеспечения, которые предусматривают управление всеми изменениями и обеспечивают поддержание
безопасности всего процесса. К ним относится санкционированное разрешение на изменения, рассмотре
ние вопросов безопасности для принятия промежуточных решений и проверка безопасности на конечной
стадии.
8.1.6 Планирование непрерывности бизнеса
Для обеспечения защиты основных бизнес-процессов организации от воздействия серьезных отка
зов или бедствий и сведения к минимуму ущерба, нанесенного такими событиями, организация должна
разработатьэффективную стратегию непрерывности бизнеса, включая планы истратегиюдействий вчрез
вычайной ситуации и восстановления после бедствия. Кэтой категории относятся следующие защитные
меры:
1Стратегия непрерывности бизнеса
Организациядолжна разработатьидокументальнооформитьстратегию непрерывности бизнеса, вклю
чая пландействий вчрезвычайной ситуации и восстановление после бедствий, в отношении рассматри
ваемой системы ИТ на основе потенциальных идентифицированных неблагоприятных воздействий набиз
нес вследствие неготовности к работе, модификации или разрушения системы ИТ.
2 План непрерывности бизнеса
На основе стратегии непрерывности бизнеса организациядолжна разработать и документальноофор
мить планы непрерывности бизнеса в случае возникновения чрезвычайной ситуации и восстановления
после бедствия.
3 Проверка и актуализация плана непрерывности бизнеса
Прежде чем принять план непрерывности бизнеса, организация должна тщательно проверить его
эффективность в обстоятельствах реальной жизни и довести егодо сведения ответственного персонала.
Так как планы непрерывности бизнеса могут быстро устаревать, организация должна проводить их перио
дическую актуализацию. Стратегия непрерывности бизнесадолжна совершенствоваться по мере необхо
димости.
4 Дублирование
Организация должна дублировать все важные файлы и другие информационные данные бизнеса,
программы и документацию важных систем. Периодичность дублирования должна быть установлена в
зависимости от важности информации и в соответствии с планом непрерывности бизнеса. Резервные копии
должны храниться в безопасном месте и отдельнодруг отдруга, а восстановленные копии — периодичес
ки проверяться на достоверность.
12