ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

10.5.5 Разработка программного обеспечения с привлечением сторонних организаций

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:

- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности (12.1.2);

- сертификацию качества и правильности выполненных работ;

- заключение "escrow" соглашения, предусматривающих депонирование исходного текста на случай невозможности третьей стороны выполнять свои обязательства;

- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;

- документирование требований к качеству программ в договорной форме;

- тестирование перед установкой программ на предмет обнаружения "Троянского коня".

11 Управление непрерывностью бизнеса

11.1 Вопросы управления непрерывностью бизнеса

Цель: противодействие прерываниям бизнеса и защита критических бизнес-процессов от последствий при значительных сбоях или бедствиях.

Необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрицательных последствий, вызванных бедствиями и нарушениями безопасности (которые могут быть результатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренных действий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных мероприятий по управлению информационной безопасностью.

Последствия от бедствий, нарушений безопасности и отказов в обслуживании необходимо анализировать. Необходимо разрабатывать и внедрять планы обеспечения непрерывности бизнеса с целью восстановления бизнес-процессов в течение требуемого времени при их нарушении. Такие планы следует поддерживать и применять на практике, чтобы они стали составной частью всех процессов управления.

Необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлению информационной безопасностью для идентификации и уменьшения рисков, ограничения последствий разрушительных инцидентов и обеспечения своевременного возобновления наиболее существенных бизнес-операций.

11.1.1 Процесс управления непрерывностью бизнеса

Необходимо, чтобы существовал управляемый процесс развития и поддержания непрерывности бизнеса для всей организации. Этот процесс должен объединять ключевые элементы управления непрерывностью бизнеса:

- понимание рисков, с которыми сталкивается организация, с точки зрения вероятности возникновения и последствий, включая идентификацию и определение приоритетов критических бизнес-процессов;

- понимание возможных последствий нарушения бизнес-процессов в случае незначительных или существенных инцидентов, потенциально угрожающих жизнедеятельности организации, а также выбора средств и способов обработки информации, которые соответствовали бы целям бизнеса;

- организацию оптимального страхования результатов обработки информации, которое должно быть частью процесса обеспечения непрерывности бизнеса;

- формулирование и документирование стратегии непрерывности бизнеса в соответствии с согласованными бизнес-целями и приоритетами;

- формулирование и документирование планов обеспечения непрерывности бизнеса в соответствии с согласованной стратегией;

- регулярное тестирование и обновление планов развития информационных технологий и существующих процессов;

- обеспечение органичного включения в процессы и структуру организации планов управления непрерывностью бизнеса. Ответственность за координацию процесса управления непрерывностью бизнеса следует возлагать на орган, обладающий соответствующими полномочиями в организации, например на управляющий совет по информационной безопасности (4.1.1).