ISO/EIC 17799:2000
© ISO/EIC 2000,
© Перевод компании Информзащита 2004
75
10.4.2 Защита данных, используемых для тестирования
Тестовые данные должны находиться под контролем и защитой. Для системных и
приемочных испытаний обычно требуются значительные объемы тестовых данных,
максимально близко соответствующих рабочим данным. Необходимо избегать использования
рабочих баз данных, содержащих личную информацию. Если подобная информация все же
будет использоваться, перед использованием ее необходимо обезличить.
Для защиты рабочих
данных, используемых при тестировании, должны применяться перечисленные ниже меры.
a) Процедуры контроля доступа, применяемые для рабочих прикладных систем, должны
применяться также и для тестовых прикладных систем.
b) На каждое копирование рабочей информации в тестовую прикладную систему
необходимо получать отдельное разрешение.
c) Рабочая информация должна стираться из тестовой прикладной системы сразу же
после завершения тестирования.
d) Сведения о копировании и использовании рабочей информации должны заноситься в
контрольный журнал.
10.4.3 Контроль доступа к библиотекам исходного кода программ
Чтобы уменьшить вероятность нарушения работы программ, необходимо строго ограничить
доступ к библиотекам исходного кода программ, как описано ниже (см. также раздел 8.3).
a) По возможности библиотеки исходного кода программ не должны входить в состав
рабочих систем.
b) Для каждого приложения необходимо назначить библиотекаря, ответственного за
программы.
c) Специалисты по поддержке информационных технологий не должны иметь
неограниченного доступа к библиотекам исходного кода программ.
d) Программы, находящиеся на стадии разработки или сопровождения, не должны
храниться в библиотеках исходного кода рабочих систем.
e) Обновление библиотек исходного кода программ и предоставление исходного кода
программистам должно осуществляться только назначенным библиотекарем после
получения разрешения руководителя отдела информационных технологий,
ответственного за соответствующую программу.
f) Листинги программ должны храниться с соблюдением мер защиты (см. раздел 8.6.4).
g) Все случаи доступа к библиотекам исходного кода программ должны заноситься в
контрольный журнал.
h) Старые версии исходного кода должны архивироваться с четким указанием точной
даты и времени для того периода, когда они использовались в работе. К ним должны
прилагаться все необходимые вспомогательные программы, средства контроля,
описания структур данных и инструкции.
i) Поддержка и копирование библиотек исходного кода программ должны происходить в
строгом соответствии с правилами контроля изменений (см. раздел 10.5.1).
|