Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)

Цель: обеспечение модернизации информационных систем и действий по их поддержке безопасным способом.

В процессе эксплуатации бизнес-приложений необходимо контролировать доступ к системным файлам.

Пользователи или разработчики, которым принадлежит прикладная система или программное обеспечение, должны быть ответственными за целостность системы.

10.4.1. Контроль программного обеспечения, находящегося в промышленной эксплуатации

Необходимо обеспечивать контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Чтобы свести к минимуму риск повреждения систем, находящихся в промышленной эксплуатации, целесообразно использовать следующие мероприятия по обеспечению информационной безопасности:

- обновление библиотек программ следует выполнять только назначенному специалисту - библиотекарю при соответствующей авторизации его обязанностей руководством (10.4.3);

- по возможности, системы, находящиеся в промышленной эксплуатации, должны состоять только из исполнимых программных кодов;

- исполняемую программу не следует внедрять в промышленную эксплуатацию до тех пор, пока не получены подтверждения ее успешного тестирования и принятия пользователями, а также не обновлены соответствующие библиотеки исходных текстов программ;

- необходимо, чтобы журнал аудита регистрировал все обновления библиотек программ, находящихся в промышленной эксплуатации;

- предыдущие версии программного обеспечения следует сохранять для восстановления системы в случае непредвиденных обстоятельств.

Необходимо, чтобы программное обеспечение, используемое в промышленной эксплуатации, поддерживалось на уровне, заданном разработчиком. При любом решении провести обновление до уровня новой версии следует принимать во внимание безопасность данной версии: какие новые функциональные возможности обеспечения информационной безопасности она имеет или имеются ли серьезные проблемы обеспечения безопасности, связанные с этой версией. Целесообразно использовать программные модификации (патчи), если они могут закрыть или снизить угрозы безопасности.

Физический или логический доступ предоставляется поставщикам (разработчикам), по мере необходимости, только для поддержки программного обеспечения при наличии разрешения руководства. При этом действия поставщика (разработчика) должны контролироваться.

10.4.2. Защита тестовых данных

Данные тестирования следует защищать и контролировать. Для осуществления системного и приемочного тестирования требуются существенные объемы тестовых данных, которые максимально приближены к операционным данным. Следует избегать использования баз данных, находящихся в промышленной эксплуатации и содержащих личную информацию. Если такая информация требуется для тестирования, то перед использованием следует удалить личную информацию (деперсонифицировать ее). Для защиты операционных данных, когда они используются для целей тестирования, необходимо применять следующие мероприятия по обеспечению информационной безопасности:

- процедуры контроля доступа, применяемые для прикладных систем, находящихся в промышленной эксплуатации, следует также применять и к прикладным системам в среде тестирования;

- при каждом копировании операционной информации для прикладной системы тестирования предусматривать авторизацию этих действий;

- после того, как тестирование завершено, операционную информацию следует немедленно удалить из прикладной системы среды тестирования;

- копирование и использование операционной информации необходимо регистрировать в журнале аудита.

10.4.3. Контроль доступа к библиотекам исходных текстов программ

Для снижения риска искажения компьютерных программ необходимо обеспечивать строгий контроль доступа к библиотекам исходных текстов программ, для чего:

- по возможности, исходные библиотеки программ следует хранить отдельно от бизнес-приложений, находящихся в промышленной эксплуатации;

- назначать специалиста - библиотекаря программ для каждого бизнес-приложения;

- персоналу поддержки информационных технологий не следует предоставлять неограниченный доступ к исходным библиотекам программ;

- программы, находящиеся в процессе разработки или текущего обслуживания, не следует хранить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации;

- обновление библиотек и обеспечение программистов исходными текстами следует осуществлять только назначенному специалисту-библиотекарю после авторизации, полученной от менеджера, отвечающего за поддержку конкретного бизнес-приложения;

- листинги программ следует хранить в безопасном месте (8.6.4);

- следует вести журнал аудита для всех доступов к исходным библиотекам;

- старые версии исходных текстов необходимо архивировать с указанием точных дат и времени, когда они находились в промышленной эксплуатации, вместе со всем программным обеспечением поддержки, управления заданиями, определениями данных и процедурами;

- поддержку и копирование исходных библиотек следует проводить под строгим контролем с целью предотвращения внесения неавторизованных изменений (10.4.1).