ISO/EIC 17799:2000
© ISO/EIC 2000
© Перевод компании Информзащита 2004
74
проблему можно с помощью сертификатов открытого ключа. Эти сертификаты должны
создаваться таким способом, чтобы информация, относящаяся к владельцу пары «открытый-
закрытый ключ», была уникальным образом связана с открытым ключом. Поэтому очень
важно, чтобы на управляющий процесс, используемый для генерации этих сертификатов,
можно было положиться. Этот процесс обычно выполняется удостоверяющим центром,
который должен быть известной организацией, обладающей необходимыми средствами и
процедурами для того, чтобы обеспечить нужную степень доверия.
Соглашения с внешними поставщиками криптографических услуг (например, с
удостоверяющими центрами) об уровне предоставляемого сервиса должны охватывать
вопросы ответственности, надежности сервиса и времени реакции при предоставлении
сервиса (см. раздел 4.2.2).
10.4 Безопасность системных файлов
Цель: Гарантировать безопасность выполнения проектов в области информационных
технологий и сопутствующих операций. Доступ к системным файлам должен
контролироваться.
Поддержка целостности системы должна входить в обязанности пользователей или группы
разработки, которым принадлежит прикладная система или программа.
10.4.1 Контроль используемого программного обеспечения
Необходимо обеспечить контроль над внедрением программного обеспечения в рабочих
системах. Чтобы свести к минимуму риск повреждения программного обеспечения,
рекомендуется рассмотреть следующие меры:
a) Обновление библиотек программного обеспечения должно выполняться только
назначенным библиотекарем после соответствующего разрешения руководства (см.
раздел 10.4.3).
b) По возможности программное обеспечение должны включать в себя только
исполняемый код.
c) Исполняемый код должен включаться в состав программного обеспечения только
после получения подтверждения успешного тестирования и приемки пользователями и
обновления необходимых библиотек исходного кода программ.
d) Необходимо вести контрольный журнал всех обновлений библиотек программного
обеспечения.
e) Предыдущие версии программ необходимо сохранять на случай непредвиденных
обстоятельств.
Уровень поддержки используемого программного обеспечения, предоставленного другими
поставщиками, должен соответствовать требованиям поставщиков. Любое решение о
переходе на новую версию должно приниматься с учетом безопасности этой версии
(например, с учетом появления новых функций защиты или количества и серьезности
проблем с безопасностью, которыми отличается эта версия). Программные исправления
необходимо устанавливать в том случае, если они помогут устранить уязвимости или
уменьшить их серьезность.
Физический или логический доступ должен предоставляться представителям поставщика
только для поддержки и с разрешения руководства. Действия представителей поставщика
должны происходить под надзором.
|