ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

8.7 Обмен информацией и программным обеспечением

Цель: предотвращение потери, модификации или неправильного использования информации при обмене ею между организациями.

Обмен информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству (раздел 12).

Обмен информацией должен происходить на основе соглашений между организациями. Необходимо определить процедуры и мероприятия по защите информации и носителей при передаче. Необходимо учитывать последствия для деятельности и безопасности организации, связанные с электронным обменом данных, электронной торговлей и электронной почтой, а также требования к мероприятиям по управлению информационной безопасностью.

8.7.1 Соглашения по обмену информацией и программным обеспечением

Порядок обмена информацией и программным обеспечением (как электронным способом, так и вручную) между организациями, включая передачу на хранение исходных текстов программ третьей стороне, должен быть строго формализован и документирован. Требования безопасности в подобных соглашениях должны учитывать степень важности информации, являющейся предметом обмена. Необходимо, чтобы требования безопасности в подобных соглашениях учитывали:

- обязанности руководства по контролю и уведомлению о передаче, отправке и получении информации;

- процедуры для уведомления отправителя о передаче, отправке и получении информации;

- минимальные технические требования по формированию и передаче пакетов данных;

- требования к курьерской службе;

- ответственность и обязательства в случае потери данных;

- использование согласованной системы маркировки для важной или критичной информации, обеспечивающей уверенность в том, что значение этой маркировки будет сразу же понятно и информация будет соответственно защищена;

- определение владельцев информации и программного обеспечения, а также обязанностей по защите данных, учет авторских прав на программное обеспечение и аналогичных вопросов (12.1.2 и 12.1.4);

- технические требования в отношении записи и считывания информации и программного обеспечения;

- любые специальные средства контроля, которые могут потребоваться для защиты важных объектов, например криптографические ключи (10.3.5).

8.7.2 Безопасность носителей информации при пересылке

Информация может быть искажена или скомпрометирована вследствие неавторизованного доступа, неправильного использования или искажения во время физической транспортировки, например, при пересылке носителей информации по почте или через курьера. Для защиты информации, передаваемой между организациями, необходимо применять следующие меры:

а) следует использовать надежных перевозчиков или курьеров. Список авторизованных курьеров необходимо согласовывать с руководством, кроме того, следует внедрить процедуру проверки идентификации курьеров;

б) упаковка должна быть достаточной для защиты содержимого от любого физического повреждения, которое может иметь место при транспортировке, и соответствовать требованиям изготовителей носителей информации;

в) специальные средства контроля следует применять, при необходимости, для защиты важной информации от неавторизованного раскрытия или модификации. Например:

1) использование запертых контейнеров;

2) личную доставку;

3) использование упаковки, которую нельзя нарушить незаметно (на которой видна любая попытка вскрытия);

4) в исключительных случаях, разбивку отправления на несколько частей, пересылаемых различными маршрутами;

5) использование цифровых подписей и шифрования для обеспечения конфиденциальности (10.3).

8.7.3 Безопасность электронной торговли