ГОСТР ИСО/МЭКТО 13335-4—2007
Каждый, ктозамечает неправильноефункционирование программногообеспечения, обязан сообщить
об этом ответственномулицу стем. чтобы можно было как можно быстрее предпринять соответствующие
корректирующие и предупреждающиедействия. Дополнительную информацию см. в 8.1.3:
- эксплуатационные вопросы.
Некоторых сбоев программногообеспечения можно избежать путем его тестирования перед исполь
зованием или управления изменениями программного обеспечения (см. 8.1.5).
10.2.7 Хищение
Хищение может угрожатьсохранению конфиденциальности, если украденный компонент содержит
конфиденциальную информацию, которая может оказаться доступной. Защитные меры против хищения
включают в себя:
- физическую защиту.
Это может быть техническая защита, затрудняющая доступ в здание, зону или помещение с обору
дованием ИТ. или специальные защитные меры отхищения (см. 8.1.7);
- персонал.
Защитные мерыдля персонала (управлениедоступом персонала и/или постороннихлиц. соглашения
о сохранении конфиденциальности и т. д.) должны поддерживаться в рабочем состоянии, затрудняя воз
можность хищения (см. 8.1.4);
- сохранение конфиденциальности данных.
Такую защиту следует внедрить, если существует вероятность хищения оборудования ИТ. содержа
щего конфиденциальную информацию, например небольшой портативный компьютер. Подробности см. в
8.2.5;
- средства контроля носителей информации.
Любые носители информации, содержащие секретные материалы, должны охраняться отхищения
(см. 8.1.5).
10.2.8 Несанкционированный доступ к компьютерам, данным, услугам и приложениям
Несанкционированный доступ ккомпьютерам,данным, услугам и приложениям может стать угрозой,
если возможен доступ к любомусекретному материалу. Защитные меры от несанкционированногодоступа
включают в себя соответствующее опознавание и проверку регистрации, логическое управление досту
пом. аудит на уровне системы ИТ и разделение сетей на сетевом уровне:
- идентификацию и аутентификацию.
Защитные меры путем соответствующего опознавания и проверки регистрации следует использовать
в комбинации слогическим управлениемдоступом для предупреждения несанкционированногодоступа.
- логическое управление и аудит доступа.
Защитные меры, изложенные в 8.2.2.должны использоватьсядля лотческого управлениядоступом
через использование механизмов управления доступом. Рассмотрение и анализ контрольных журналов
регистрации позволяетобнаруживать несанкционированные видыдеятельности пользователей с правами
доступа в систему;
- разделение сетей.
Для затруднения несанкционированного доступа, должно применяться местное разделение сетей
(см. 8.2.4);
- физическое управление доступом.
Кроме логического, может применяться физическое управление доступом;
- управление носителями данных.
Если конфиденциальная информация хранится на портативных или иных носителях (например на
дискетах), то организациядолжна установить местное управление носителямиданных для их защиты от
несанкционированногодоступа;
- сохранение конфиденциальности данных.
Если по какой-либо причине управление носителямиданных невозможно или недостаточно, тодопол
нительная защита может обеспечиваться путем хранения конфиденциальныхданных в зашифрованном
виде (см. 8.2.5).
10.2.9 Несанкционированный доступ к месту хранения носителей информации
Доступ к месту хранения и использование носителей информации без соответствующих полномочий
угрожают конфиденциальности, если вэтой среде хранятся секретные материалы. Защитные меры сохра
нения конфиденциальности включают всебя:
- эксплуатационные вопросы.
3 2