ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

Цель: обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации.

Должны быть установлены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих операционных инструкций и процедуры реагирования на инциденты.

С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует, по возможности, реализовывать принцип разделения полномочий (8.1.4).

8.1.1 Документальное оформление операционных процедур

Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как официальные документы, документироваться и строго соблюдаться, а изменения к ним должны санкционироваться и утверждаться руководством.

Процедуры содержат детальную инструкцию выполнения конкретного задания (работы) и включают:

- обработку и управление информацией;

- определение требований в отношении графика выполнения заданий, включающих взаимосвязи между системами; время начала выполнения самого раннего задания и время завершения самого последнего задания;

- обработку ошибок или других исключительных ситуаций, которые могут возникнуть в течение выполнения заданий, включая ограничения на использование системных утилит (9.5.5);

- необходимые контакты на случай неожиданных операционных или технических проблем;

- специальные мероприятия по управлению выводом данных, например, использование специальной бумаги для печатающих устройств или особых процедур применительно к выводу конфиденциальной информации, включая процедуры для безопасной утилизации выходных данных, не завершенных в процессе выполнения заданий;

- перезапуск системы и процедуры восстановления в случае системных сбоев.

Документированные процедуры должны быть также разработаны в отношении обслуживания систем обработки и обмена информацией, в частности процедуры запуска и безопасного завершения работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием.

8.1.2 Контроль изменений

Изменения конфигурации в средствах и системах обработки информации должны контролироваться надлежащим образом. Неадекватный контроль изменений средств и систем обработки информации - распространенная причина системных сбоев и инцидентов нарушения информационной безопасности. С целью обеспечения надлежащего контроля всех изменений в оборудовании, программном обеспечении или процедурах должны быть определены и внедрены формализованные роли, ответственности и процедуры. При изменении программного обеспечения вся необходимая информация должна фиксироваться и сохраняться в системном журнале аудита. Изменения операционной среды могут оказывать влияние на работу приложений. Везде, где это имеет практический смысл, процедуры управления изменениями в операционной среде и в приложениях должны быть интегрированы (см. также 10.5.1). В частности, необходимо рассматривать следующие мероприятия:

- определение и регистрация существенных изменений;

- оценка возможных последствий таких изменений;

- формализованная процедура утверждения предлагаемых изменений;

- подробное информирование об изменениях всех заинтересованных лиц;

- процедуры, определяющие обязанности по прерыванию и восстановлению работы средств и систем обработки информации, в случае неудачных изменений программного обеспечения.

8.1.3 Процедуры в отношении инцидентов нарушения информационной безопасности

Обязанности и процедуры по управлению в отношении инцидентов должны быть определены для обеспечения быстрой, эффективной и организованной реакции на эти нарушения информационной безопасности (6.3.1). При этом необходимо рассмотреть следующие мероприятия: