Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Процедуры контроля изменений
Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где это возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал:
- обеспечение протоколирования согласованных уровней авторизации;
- обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей;
- анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем;
- идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений;
- получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы;
- разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации;
- осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса;
- обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации;
- поддержку контроля версий для всех обновлений программного обеспечения;
- регистрацию в журналах аудита всех запросов на изменение;
- коррекцию эксплуатационной документации (8.1.1) и пользовательских процедур в соответствии с внесенными изменениями;
- осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов.
Во многих организациях используется среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита операционной информации, используемой в процессе тестирования.
Технический анализ изменений в операционных системах
Периодически возникает необходимость внести изменения в операционные системы, например, установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Необходимо, чтобы этот процесс учитывал:
- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;
- обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривает анализ и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;
- обеспечение своевременного поступления уведомлений об изменениях в операционной системе для возможности проведения соответствующего анализа их влияния на информационную безопасность перед установкой изменений в операционную систему;
- контроль документирования соответствующих изменений в планах обеспечения непрерывности бизнеса (раздел 11).
Ограничения на внесение изменений в пакеты программ
Модификаций пакетов программ следует избегать. Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесения изменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:
- риск компрометации встроенных средств контроля и процесса обеспечения целостности;
- необходимость получения согласия поставщика;
- возможность получения требуемых изменений от поставщика в виде стандартного обновления программ;
- необходимость разработки дополнительных мер поддержки программного обеспечения, если организация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.
В случае существенных изменений оригинальное программное обеспечение следует сохранять, а изменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностью тестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.
10.5.4 Скрытые каналы утечки данных и " троянские" программы
Раскрытие информации через скрытые каналы может происходить косвенными и неавторизованными способами. Этот процесс может быть результатом активации изменений параметров доступа как к защищенным, так и к незащищенным элементам информационной системы, или посредством вложения информации в поток данных. " Троянские" программы предназначены для того, чтобы воздействовать на систему неавторизованным и незаметным способом, при этом данное воздействие осуществляется как на получателя данных, так и на пользователя программы. Скрытые каналы утечки и " троянские" программы редко возникают случайно. Там, где скрытые каналы или " троянские" программы являются проблемой, необходимо применять следующие мероприятия по обеспечению информационной безопасности:
- закупку программного обеспечения осуществлять только у доверенного источника;
- по возможности закупать программы в виде исходных текстов с целью их проверки;
- использовать программное обеспечение, прошедшее оценку на соответствие требованиям информационной безопасности;
- осуществлять проверку исходных текстов программ перед их эксплуатационным применением;
- осуществлять контроль доступа к установленным программам и их модификациям;
- использование проверенных сотрудников для работы с ключевыми системами.
Разработка программного обеспечения с привлечением сторонних организаций
В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:
- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности (12.1.2);
- сертификацию качества и правильности выполненных работ;
- заключение " escrow" соглашения, предусматривающих депонирование исходного текста на случай невозможности третьей стороны выполнять свои обязательства;
- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;
- документирование требований к качеству программ в договорной форме;
- тестирование перед установкой программ на предмет обнаружения " Троянского коня".
Управление непрерывностью бизнеса Вопросы управления непрерывностью бизнеса
Цель: противодействие прерываниям бизнеса и защита критических бизнес-процессов от последствий при значительных сбоях или бедствиях.
Необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности (которые могут быть результатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренных действий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных мероприятий по управлению информационной безопасностью.
Последствия от бедствий, нарушений безопасности и отказов в обслуживании необходимо анализировать. Необходимо разрабатывать и внедрять планы обеспечения непрерывности бизнеса с целью восстановления бизнес-процессов в течение требуемого времени при их нарушении. Такие планы следует поддерживать и применять на практике, чтобы они стали составной частью всех процессов управления.
Необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлению информационной безопасностью для идентификации и уменьшения рисков, ограничения последствий разрушительных инцидентов и обеспечения своевременного возобновления наиболее существенных бизнес-операций.
Популярное:
|
Последнее изменение этой страницы: 2016-04-09; Просмотров: 1144; Нарушение авторского права страницы