Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Разграничение сред разработки и промышленной эксплуатации



 

При разделении сред разработки, тестирования и промышленной эксплуатации необходимо разделить роли и функции сотрудников. Правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

 

Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных проблем, например нежелательных изменений файлов или системной среды, а также системных сбоев. При этом следует обеспечивать необходимый уровень разделения между средами промышленной эксплуатации по отношению к средам тестирования, а также для предотвращения операционных сбоев. Аналогичное разделение следует также реализовывать между функциями разработки и тестирования. В этом случае необходимо поддерживать в рабочем состоянии отдельную среду, в которой следует выполнять комплексное тестирование с известной стабильностью и предотвращать несанкционированный доступ со стороны разработчиков.

 

Там, где сотрудники, отвечающие за разработку и тестирование, имеют доступ к системе и данным среды промышленной эксплуатации, они имеют возможность установить неавторизованную и непротестированную программу или изменить данные в операционной среде. Применительно к ряду систем эта возможность могла бы быть использована с целью злоупотребления, а именно для совершения мошенничества или установки непротестированной или вредоносной программы. Непротестированное или вредоносное программное обеспечение может быть причиной серьезных проблем в операционной среде. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз для безопасности операционной информации и системы.

 

Кроме того, если разработка и тестирование производятся в одной компьютерной среде, это может стать причиной непреднамеренных изменений программного обеспечения и информации. Разделение сред разработки, тестирования и эксплуатации является, следовательно, целесообразным для уменьшения риска случайного изменения или неавторизованного доступа к программному обеспечению и бизнес-данным среды промышленной эксплуатации. Необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

 

- программное обеспечение для разработки и эксплуатации, по возможности, должно работать на различных компьютерных процессорах или в различных доменах или директориях;

 

- действия по разработке и тестированию должны быть разделены, насколько это возможно;

 

- компиляторы, редакторы и другие системные утилиты не должны быть доступны в операционной среде без крайней необходимости;

 

- чтобы уменьшить риск ошибок, для операционных и тестовых систем должны использоваться различные процедуры регистрации (входа в систему). Пользователям следует рекомендовать применение различных паролей для этих систем, а в их экранных меню должны показываться соответствующие идентификационные сообщения;

 

- разработчики могут иметь доступ к паролям систем операционной среды только в том случае, если внедрены специальные мероприятия по порядку предоставления паролей для поддержки среды промышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.

 

Управление средствами обработки информации сторонними лицами и/или организациями

 

Использование сторонних подрядчиков для управления средствами обработки информации является потенциальной угрозой для безопасности, поскольку возникает возможность компрометации, повреждения или потери данных в организации подрядчика. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт (4.2.2 и 4.3 в отношении руководств по контрактам с третьей стороной, предусматривающих доступ к средствам обработки информации организации и в отношении контрактов по аутсорсингу).

 

В этих условиях требуется решение специальных вопросов:

 

- идентификация важных или критических бизнес-приложений, которые лучше оставить в организации;

 

- получение одобрения владельцев коммерческих бизнес-приложений;

 

- оценка влияния на планы обеспечения непрерывности бизнеса;

 

- определение перечня стандартов безопасности, которые должны быть включены в контракты, и процедур проверки выполнения их требований;

 

- распределение конкретных обязанностей и процедур для эффективного мониторинга всех применяемых видов деятельности, связанных с информационной безопасностью;

 

- определение обязанностей и процедур в отношении информирования и управления процессами ликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).

 

Планирование нагрузки и приемка систем

 

Цель: сведение к минимуму риска сбоев в работе систем.

 

Для обеспечения доступности данных, требуемой производительности и ресурсов систем необходимо провести предварительное планирование и подготовку.

 

Для снижения риска перегрузки систем необходимо проводить анализ предполагаемой ее нагрузки.

 

Требования к эксплуатации новых систем должны быть определены, документально оформлены и протестированы перед их приемкой и использованием.

 

Планирование производительности

 

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие планы и перспективные планы развития информационных технологий в организации.

 

Мэйнфреймы требуют особого внимания вследствие значительных финансовых и временных затрат на повышение их производительности. Руководители, отвечающие за предоставление мэйнфреймовых услуг, должны проводить мониторинг загрузки ключевых системных ресурсов, в том числе процессоров, оперативной и внешней памяти, принтеров и других устройств вывода, а также систем связи. Эти руководители должны определять общие потребности и тенденции в использовании компьютерных ресурсов, что особенно важно для поддержки бизнес-приложений или систем управления для руководства.

 

Руководителям следует использовать эту информацию с целью идентификации/избежания потенциально узких мест, представляющих угрозу безопасности системы или пользовательским сервисам, а также с целью планирования соответствующих мероприятий по обеспечению информационной безопасности.

 

Приемка систем

 

Перед приемкой систем должны быть определены критерии приемки новых информационных систем, новых версий и обновлений, а также должно проводиться необходимое их тестирование. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы. В этих целях необходимо предусматривать следующие мероприятия по управлению информационной безопасностью:

 

- оценка выполнения требований к мощности и производительности компьютера;

 

- определение процедур восстановления после сбоев и повторного запуска, а также формирование планов обеспечения непрерывной работы;

 

- подготовка и тестирование типовых операционных процессов на соответствие определенным стандартам;

 

- наличие необходимого набора средств контроля информационной безопасности;

 

- разработка эффективных руководств по процедурам;

 

- обеспечение непрерывности бизнеса в соответствии с требованиями 11.1;

 

- обязательная проверка отсутствия неблагоприятного влияния новых систем на существующие, особенно во время максимальных нагрузок, например, в конце месяца;

 

- контроль проведения анализа влияния, оказываемого новой системой на общую информационную безопасность организации;

 

- организация профессиональной подготовки персонала к эксплуатации и использованию новых систем.

 

Для консультаций на всех этапах разработки новых систем должны привлекаться службы поддержки (эксплуатации) и пользователи с целью обеспечения эффективной эксплуатации проектируемой системы. При этом должны проводиться соответствующие тесты для подтверждения того, что все критерии приемки удовлетворены полностью.

 


Поделиться:



Популярное:

  1. A.- СРЕДСТВА УПРАВЛЕНИЯ ВРЕМЕНЕМ
  2. E) В стране преобладают малые и средние города
  3. I. Использование средств индивидуальной и коллективной защиты в ЧС.
  4. I.1 Творчество как средство социализации и развития личности
  5. II.1 Досуг как средство творческой самореализации личности
  6. IV. Основные способы и средства защиты населения в чрезвычайных ситуациях.
  7. SWOT-анализ факторов внешней юридической среды
  8. V Криминалистическое исследование видео- и фонограмм, средств видео- и звукозаписи и информации, зафиксированной с их помощью.
  9. VII. ВЕДЕНИЕ РАДИООБМЕНА С АВТОТРАНСПОРТНЫМИ И АЭРОДРОМНЫМИ СРЕДСТВАМИ
  10. VIII. Охрана труда при организации работ в электроустановках, выполняемых по перечню работ в порядке текущей эксплуатации
  11. XIX. Обеспечение объектов первичными средствами пожаротушения
  12. XLI. Охрана труда при выполнении работ со средствами связи, диспетчерского и технологического управления


Последнее изменение этой страницы: 2016-04-09; Просмотров: 751; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.024 с.)
Главная | Случайная страница | Обратная связь