ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

10.5.2 Технический анализ изменений в операционных системах

Периодически возникает необходимость внести изменения в операционные системы, например, установить последнюю поддерживаемую версию программного обеспечения. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Необходимо, чтобы этот процесс учитывал:

- анализ средств контроля бизнес-приложений и процедур целостности, чтобы обеспечивать уверенность в том, что они не были скомпрометированы изменениями в операционной системе;

- обеспечение уверенности в том, что ежегодный план поддержки и бюджет предусматривает анализ и тестирование систем, которые необходимо осуществлять при изменениях в операционной системе;

- обеспечение своевременного поступления уведомлений об изменениях в операционной системе для возможности проведения соответствующего анализа их влияния на информационную безопасность перед установкой изменений в операционную систему;

- контроль документирования соответствующих изменений в планах обеспечения непрерывности бизнеса (раздел 11).

10.5.3 Ограничения на внесение изменений в пакеты программ

Модификаций пакетов программ следует избегать. Насколько это возможно и допустимо с практической точки зрения, поставляемые поставщиком пакеты программ следует использовать без внесения изменений. Там, где все-таки необходимо вносить изменения в пакет программ, следует учитывать:

- риск компрометации встроенных средств контроля и процесса обеспечения целостности;

- необходимость получения согласия поставщика;

- возможность получения требуемых изменений от поставщика в виде стандартного обновления программ;

- необходимость разработки дополнительных мер поддержки программного обеспечения, если организация в результате внесенных изменений станет ответственной за будущее сопровождение программного обеспечения.

В случае существенных изменений оригинальное программное обеспечение следует сохранять, а изменения следует вносить в четко идентифицированную копию. Все изменения необходимо полностью тестировать и документировать таким образом, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений программного обеспечения.

10.5.4 Скрытые каналы утечки данных и "троянские" программы

Раскрытие информации через скрытые каналы может происходить косвенными и неавторизованными способами. Этот процесс может быть результатом активации изменений параметров доступа как к защищенным, так и к незащищенным элементам информационной системы, или посредством вложения информации в поток данных. "Троянские" программы предназначены для того, чтобы воздействовать на систему неавторизованным и незаметным способом, при этом данное воздействие осуществляется как на получателя данных, так и на пользователя программы. Скрытые каналы утечки и "троянские" программы редко возникают случайно. Там, где скрытые каналы или "троянские" программы являются проблемой, необходимо применять следующие мероприятия по обеспечению информационной безопасности:

- закупку программного обеспечения осуществлять только у доверенного источника;

- по возможности закупать программы в виде исходных текстов с целью их проверки;

- использовать программное обеспечение, прошедшее оценку на соответствие требованиям информационной безопасности;

- осуществлять проверку исходных текстов программ перед их эксплуатационным применением;

- осуществлять контроль доступа к установленным программам и их модификациям;

- использование проверенных сотрудников для работы с ключевыми системами.