Цель: Обеспечить правильную и надежную работу информационных систем.
Часть 1: Необходимо определить обязанности и процедуры по администрированию и обеспечению функционирования компьютеров и сетей. Они должны быть зафиксированы в инструкциях и процедурах реагирования на инциденты. Для уменьшения риска некорректных или несанкционированных действий следует применять принцип разделения обязанностей.
Часть 2: Аудиторы должны проверить наличие правил по эксплуатации, разработке, сопровождению, тестированию, убедиться, что все необходимые операции должным образом документированы.
Цель: Свести риск отказов информационных систем к минимуму.
Часть 1: Для обеспечения доступности ресурсов и необходимой производительности информационных систем требуется предварительное планирование и подготовка. Для уменьшения риска перегрузки систем необходимо оценить будущие потребности и необходимую производительность. Эксплуатационные требования к новым системам следует определить, документировать и проверить до их приемки. Должны быть выработаны требования к переходу на аварийный режим для сервисов, поддерживающих несколько приложений.
Часть 2: Аудиторы должны проверить критерии приемки информационных систем, оценки их производительности, планы восстановительных работ по каждому сервису.
Цель: Обеспечить целостность данных и программ
Часть 1: Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения требуется принятие соответствующих мер предосторожности. В настоящее время существует целый ряд вредоносных программ ("компьютерные вирусы", "сетевые черви", "Троянские кони" и "логические бомбы"), которые используют уязвимость программного обеспечения по отношению к несанкционированной модификации. Администраторы информационных систем должны быть всегда готовы к проникновению вредоносного программного обеспечения в информационные системы и принимать специальные меры по предотвращению или обнаружению его внедрения. В частности, важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах.
Часть 2: Аудиторы должны убедиться, что процедуры, препятствующие внедрению вредоносного программного обеспечения, должным образом документированы, приняты адекватные меры предосторожности, случаи заражения регистрируются.
Цель: Обеспечить целостность и доступность информационных сервисов.
Часть 1: Для поддержания целостности и доступности сервисов требуется выполнение некоторых служебных процедур. Должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования.
Часть 2: Аудиторы должны убедиться, что процедуры резервного копирования соответствуют требованиям организации, операторы ведут протоколы всех производимых операций, неисправности регистрируются и принимаются меры к их устранению.
Цель: Обеспечить защиту информации в сетях.
Часть 1: Управление безопасностью сетей, отдельные сегменты которых находятся за пределами организации, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут потребоваться специальные меры.
Часть 2: Аудиторы должны проверить защитные меры, применяемые в организации.
Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации.
Часть 1: Необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определить процедуры для защиты носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа.
Часть 2: Аудиторы должны проверить установленные процедуры контроля, режим хранения носителей информации.
Цель: Предотвратить потери, модификацию и несанкционированное использование данных.
Часть 1: Обмены данными и программами между организациями необходимо осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты.
Часть 2: Аудиторы должны проверить существующие меры защиты электронного обмена данными, меры ИБ внутреннего электронного документооборота.
|
|
|
|
| Раздел 5. Физическая безопасность | Содержание | Раздел 7. Управление доступом |
| Copyright ╘ 1993-2000, Jet Infosystems |