Процедуры контроля изменений

 

Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где это возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал:

 

- обеспечение протоколирования согласованных уровней авторизации;

 

- обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей;

 

- анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем;

 

- идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений;

 

- получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы;

 

- разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации;

 

- осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса;

 

- обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации;

 

- поддержку контроля версий для всех обновлений программного обеспечения;

 

- регистрацию в журналах аудита всех запросов на изменение;

 

- коррекцию эксплуатационной документации (8.1.1) и пользовательских процедур в соответствии с внесенными изменениями;

 

- осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов.

 

Во многих организациях используется среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита операционной информации, используемой в процессе тестирования.

 

Технический анализ изменений в операционных системах

 

Периодически возникает необходимость внести изменения в операционные системы, например, установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Необходимо, чтобы этот процесс учитывал:

 

- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;

 

- обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривает анализ и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;

 

- обеспечение своевременного поступления уведомлений об изменениях в операционной системе для возможности проведения соответствующего анализа их влияния на информационную безопасность перед установкой изменений в операционную систему;

 

- контроль документирования соответствующих изменений в планах обеспечения непрерывности бизнеса (раздел 11).

 

Ограничения на внесение изменений в пакеты программ

 

Модификаций пакетов программ следует избегать. Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесения изменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:

 

- риск компрометации встроенных средств контроля и процесса обеспечения целостности;

 

- необходимость получения согласия поставщика;

 

- возможность получения требуемых изменений от поставщика в виде стандартного обновления программ;

 

- необходимость разработки дополнительных мер поддержки программного обеспечения, если организация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.

 

В случае существенных изменений оригинальное программное обеспечение следует сохранять, а изменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностью тестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.

 

10.5.4 Скрытые каналы утечки данных и " троянские" программы

 

Раскрытие информации через скрытые каналы может происходить косвенными и неавторизованными способами. Этот процесс может быть результатом активации изменений параметров доступа как к защищенным, так и к незащищенным элементам информационной системы, или посредством вложения информации в поток данных. " Троянские" программы предназначены для того, чтобы воздействовать на систему неавторизованным и незаметным способом, при этом данное воздействие осуществляется как на получателя данных, так и на пользователя программы. Скрытые каналы утечки и " троянские" программы редко возникают случайно. Там, где скрытые каналы или " троянские" программы являются проблемой, необходимо применять следующие мероприятия по обеспечению информационной безопасности:

 

- закупку программного обеспечения осуществлять только у доверенного источника;

 

- по возможности закупать программы в виде исходных текстов с целью их проверки;

 

- использовать программное обеспечение, прошедшее оценку на соответствие требованиям информационной безопасности;

 

- осуществлять проверку исходных текстов программ перед их эксплуатационным применением;

 

- осуществлять контроль доступа к установленным программам и их модификациям;

 

- использование проверенных сотрудников для работы с ключевыми системами.

 

Разработка программного обеспечения с привлечением сторонних организаций

 

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:

 

- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности (12.1.2);

 

- сертификацию качества и правильности выполненных работ;

 

- заключение " escrow" соглашения, предусматривающих депонирование исходного текста на случай невозможности третьей стороны выполнять свои обязательства;

 

- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;

 

- документирование требований к качеству программ в договорной форме;

 

- тестирование перед установкой программ на предмет обнаружения " Троянского коня".

 

Управление непрерывностью бизнеса

Вопросы управления непрерывностью бизнеса

 

Цель: противодействие прерываниям бизнеса и защита критических бизнес-процессов от последствий при значительных сбоях или бедствиях.

 

Необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности (которые могут быть результатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренных действий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных мероприятий по управлению информационной безопасностью.

 

Последствия от бедствий, нарушений безопасности и отказов в обслуживании необходимо анализировать. Необходимо разрабатывать и внедрять планы обеспечения непрерывности бизнеса с целью восстановления бизнес-процессов в течение требуемого времени при их нарушении. Такие планы следует поддерживать и применять на практике, чтобы они стали составной частью всех процессов управления.

 

Необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлению информационной безопасностью для идентификации и уменьшения рисков, ограничения последствий разрушительных инцидентов и обеспечения своевременного возобновления наиболее существенных бизнес-операций.

 

⇐ Предыдущая78910111213141516Следующая ⇒

Поделиться:

Популярное:

1. Административные процедуры как правовой институт в структуре административного процесса
2. Аналитические процедуры и их применение в проведении аудиторских проверок. ФП(С)АД №20 «Аналитические процедуры»
3. Б. Процедуры заключения договоров
4. Бесконтактный метод контроля
5. Блок схема системы автоматического контроля.
6. ВИДЫ И ФОРМЫ КОНТРОЛЯ КАЧЕСТВА ЗНАНИЙ
7. Виды и формы оценочных средств в период текущего контроля
8. Виды и формы финансового контроля.
9. Виды учебной работы и формы контроля
10. Влияние на потребительское поведение изменений дохода и цены.
11. Возбуждение процедуры банкротства. Досудебная санация.
12. Вопрос 2. Исторические аспекты возникновения аудита. Место аудита в системе финансового контроля. (12.02.2016)