Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 10.5.1 Правила управления внесением изменений
| ISO/EIC 17799:2000
© ISO/EIC 2000 © Перевод компании Информзащита 2004 76 10.5 Безопасность при разработке и поддержке Цель: Обеспечить безопасность прикладных программ и информации. Среды, в которых происходит проектирование и поддержка, должны находиться под строгим контролем. Руководители, ответственные за прикладные системы, должны также нести ответственность за среды проектирования или поддержки. Они должны обеспечить контроль всех предлагаемых изменений в системе, чтобы гарантировать, что эти изменения не нарушат безопасность системы или среды эксплуатации. 10.5.1 Правила управления внесением изменений Чтобы свести вероятность повреждения информационных систем к минимуму, следует ввести строгий контроль над внесением изменений. Необходимо установить официальные правила управления внесением изменений. Эти правила должны гарантировать, что процедуры, связанные с безопасностью и контролем, не будут нарушены, что программисты, занимающиеся поддержкой, получают доступ только к тем частям системы, которые необходимы для их работы, и что для выполнения любого изменения требуется получить официальное разрешение и подтверждение. Внесение изменений в прикладные программы может повлиять на рабочую среду. По возможности процедуры управления внесением изменений в системном и прикладном программном обеспечении должны быть объединены (см. также раздел 8.1.2). Эти правила должны включать следующее: a) запись сведений о согласованных уровнях авторизации; b) возможность внесения изменений только авторизованными пользователями; c) проверка процедур контроля и поддержки целостности, гарантирующая, что изменения не приведут к их нарушению; d) определение всех компьютерных программ, информации, записей баз данных и аппаратных компонентов, которые потребуют изменения; e) получение официального одобрения подробно описанных предложений до начала работ; f) возможность начала реализации только после того, как авторизованный пользователь подтвердит предложенные изменения; g) процедуры реализации, оказывающие минимальное влияние на деятельность организации; h) гарантия обновления системной документации по завершении каждого обновления и архивирование или утилизация старой документации; i) поддержка управления версиями для всех обновлений программного обеспечения; j) ведение аудиторских записей для всех запросов об изменении; k) гарантия внесения необходимых изменений в рабочую документацию (см. раздел 8.1.1) и правила работы; l) гарантия внесения изменений в правильное время и без нарушения организационных процессов, к которым они относятся. Во многих организациях имеется среда, в которой пользователи могут протестировать новые программы. Эта среда должна быть отделена от среды разработки и основной деятельности. Это помогает обеспечить контроль над новым программным обеспечением и ввести |