Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)

Цель: поддержание безопасности прикладных систем и информации.

Менеджеры, ответственные за прикладные системы, должны быть ответственными и за безопасность среды проектирования или поддержки. Они должны проводить анализ всех предложенных изменений системы и исключать возможность компрометации безопасности как системы, так и среды промышленной эксплуатации.

10.5.1. Процедуры контроля изменений

Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где это возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал:

- обеспечение протоколирования согласованных уровней авторизации;

- обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей;

- анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем;

- идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений;

- получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы;

- разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации;

- осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса;

- обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации;

- поддержку контроля версий для всех обновлений программного обеспечения;

- регистрацию в журналах аудита всех запросов на изменение;

- коррекцию эксплуатационной документации (8.1.1) и пользовательских процедур в соответствии с внесенными изменениями;

- осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов.

Во многих организациях используется среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита операционной информации, используемой в процессе тестирования.

10.5.2. Технический анализ изменений в операционных системах

Периодически возникает необходимость внести изменения в операционные системы, например, установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Необходимо, чтобы этот процесс учитывал:

- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;

- обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривают анализ и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;

- обеспечение своевременного поступления уведомлений об изменениях в операционной системе для возможности проведения соответствующего анализа их влияния на информационную безопасность перед установкой изменений в операционную систему;

- контроль документирования соответствующих изменений в планах обеспечения непрерывности бизнеса (раздел 11).

10.5.3. Ограничения на внесение изменений в пакеты программ

Модификаций пакетов программ следует избегать. Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесения изменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:

- риск компрометации встроенных средств контроля и процесса обеспечения целостности;

- необходимость получения согласия поставщика;

- возможность получения требуемых изменений от поставщика в виде стандартного обновления программ;

- необходимость разработки дополнительных мер поддержки программного обеспечения, если организация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.

В случае существенных изменений оригинальное программное обеспечение следует сохранять, а изменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностью тестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.

10.5.4. Скрытые каналы утечки данных и "троянские" программы

Раскрытие информации через скрытые каналы может происходить косвенными и неавторизованными способами. Этот процесс может быть результатом активации изменений параметров доступа как к защищенным, так и к незащищенным элементам информационной системы, или посредством вложения информации в поток данных. "Троянские" программы предназначены для того, чтобы воздействовать на систему неавторизованным и незаметным способом, при этом данное воздействие осуществляется как на получателя данных, так и на пользователя программы. Скрытые каналы утечки и "троянские" программы редко возникают случайно. Там, где скрытые каналы или "троянские" программы являются проблемой, необходимо применять следующие мероприятия по обеспечению информационной безопасности:

- закупку программного обеспечения осуществлять только у доверенного источника;

- по возможности закупать программы в виде исходных текстов с целью их проверки;

- использовать программное обеспечение, прошедшее оценку на соответствие требованиям информационной безопасности;

- осуществлять проверку исходных текстов программ перед их эксплуатационным применением;

- осуществлять контроль доступа к установленным программам и их модификациям;

- использование проверенных сотрудников для работы с ключевыми системами.

10.5.5. Разработка программного обеспечения с привлечением сторонних организаций

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:

- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности (12.1.2);

- сертификацию качества и правильности выполненных работ;

- заключение "escrow" соглашения, предусматривающих депонирование исходного текста на случай невозможности третьей стороны выполнять свои обязательства;

- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;

- документирование требований к качеству программ в договорной форме;

- тестирование перед установкой программ на предмет обнаружения "Троянского коня".