Цель: Обеспечить встраивание средств защиты в информационные системы.
Часть 1: Требования к безопасности должны быть определены и согласованы до разработки информационных систем. Средства защиты оказываются более дешевыми и эффективными, если их предусмотреть на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии задания требований к проекту, обосновать, согласовать и документировать в рамках общего плана работ по созданию информационной системы.
Часть 2: Аудиторы должны убедиться, что на стадии проектирования был проведен анализ вопросов безопасности.
Цель: Предотвратить потерю, модификацию и несанкционированное использование данных в прикладных системах. При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства протоколирования и аудита.
Часть 1: Проектирование и эксплуатация систем должны соответствовать стандартам на базовый уровень защищенности.
Системы, которые поддерживают или оказывают влияние на исключительно уязвимые, ценные или критически важные информационные ресурсы организации, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить, исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз и возможных последствий их реализации.
Часть 2: Аудиторы должны убедиться, что обеспечивается базовый уровень защищенности при вводе данных, информация большой степени секретности шифруется, используются механизмы проверки подлинности сообщений.
Цель: Обеспечить информационную безопасность при разработке и поддержке информационных систем.
Часть 1: Доступ к системным файлам необходимо контролировать. Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой принадлежит данная прикладная система или программное обеспечение.
Часть 2: Аудиторы должны выяснить, как устанавливаются и тестируются новые версии, регистрируются изменения, хранятся рабочие версии ПО.
Цель: Обеспечить информационную безопасность прикладного ПО и данных.
Часть 1: Среду разработки и эксплуатационную среду необходимо жестко контролировать. Администраторы, отвечающие за прикладные системы, должны анализировать изменения, которые предлагаются внести в системы, чтобы убедиться, что они не нарушат безопасность среды разработки или эксплуатационной среды.
Часть 2: Аудиторы должны проверить наличие процедур контроля на всех этапах жизненного цикла.
|
|
|
|
| Раздел 7. Управление доступом | Содержание | Раздел 9. Планирование бесперебойной работы организации |
| Copyright ╘ 1993-2000, Jet Infosystems |