ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- программы, находящиеся в процессе разработки или текущего обслуживания, не следует хранить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации;

- обновление библиотек и обеспечение программистов исходными текстами следует осуществлять только назначенному специалисту - библиотекарю после авторизации, полученной от менеджера, отвечающего за поддержку конкретного бизнес-приложения;

- листинги программ следует хранить в безопасном месте (8.6.4);

- следует вести журнал аудита для всех доступов к исходным библиотекам;

- старые версии исходных текстов необходимо архивировать с указанием точных дат и времени, когда они находились в промышленной эксплуатации, вместе со всем программным обеспечением поддержки, управления заданиями, определениями данных и процедурами;

- поддержку и копирование исходных библиотек следует проводить под строгим контролем с целью предотвращения внесения неавторизованных изменений (10.4.1).

10.5 Безопасность в процессах разработки и поддержки

Цель: поддержание безопасности прикладных систем и информации.

Менеджеры, ответственные за прикладные системы, должны быть ответственными и за безопасность среды проектирования или поддержки. Они должны проводить анализ всех предложенных изменений системы и исключать возможность компрометации безопасности как системы, так и среды промышленной эксплуатации.

10.5.1 Процедуры контроля изменений

Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где это возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал:

- обеспечение протоколирования согласованных уровней авторизации;

- обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей;

- анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем;

- идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений;

- получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы;

- разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации;

- осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса;

- обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации;

- поддержку контроля версий для всех обновлений программного обеспечения;

- регистрацию в журналах аудита всех запросов на изменение;

- коррекцию эксплуатационной документации (8.1.1) и пользовательских процедур в соответствии с внесенными изменениями;

- осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов.

Во многих организациях используется среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита операционной информации, используемой в процессе тестирования.