ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- определение порядка и правил приобретения программных продуктов;

- обеспечение осведомленности сотрудников по вопросам авторского права на программное обеспечение принятых правил в отношении закупок, а также уведомление о применении дисциплинарных санкций к нарушителям;

- ведение соответствующих регистров активов;

- ведение подтверждений и доказательств собственности на лицензии, дистрибутивные диски, руководства и т.д.;

- контроль за соблюдением ограничений максимального числа разрешенных пользователей программными продуктами;

- регулярные проверки применения только авторизованного программного обеспечения и лицензированных продуктов;

- реализация политики по обеспечению выполнения условий соответствующих лицензионных соглашений;

- выполнение правил утилизации или передачи программного обеспечения в другие организации;

- организация регулярного аудита;

- соблюдение условий получения из общедоступных сетей программного обеспечения и информации (8.7.6).

12.1.3 Защита учетных записей организации

Важные данные организации необходимо защищать от утраты, разрушения и фальсификации. В отношении некоторых данных может потребоваться обеспечение безопасности хранения с целью выполнения законодательных или регулирующих требований, а также поддержки важных бизнес-приложений. В качестве примеров можно привести данные, которые могут потребоваться для доказательства того, что организация работает в рамках установленных законом норм или регулирующих требований, или с целью адекватной защиты от гражданского или уголовного преследования, а также подтверждения финансового состояния организации для акционеров, партнеров и аудиторов. Период времени хранения и содержание данных могут быть установлены в соответствии с государственными законами или регулирующими требованиями.

Данные необходимо классифицировать по типам, например, бухгалтерские записи, записи баз данных, журналы транзакций, журналы аудита и операционных процедур, каждый с указанием периодов хранения и типов носителей хранимых данных (бумага, микрофильм, магнитные или оптические носители). Любые криптографические ключи, связанные с зашифрованными архивами или цифровыми подписями (10.3.2 и 10.3.3), следует хранить безопасным способом и предоставлять к ним, при необходимости, доступ только авторизованным лицам.

Следует учитывать возможность снижения качества носителей, используемых для хранения данных, осуществлять процедуры по хранению и уходу за носителями данных в соответствии с рекомендациями изготовителя.

При использовании электронных носителей данных следует применять процедуры проверки возможности доступа к данным (например, читаемость как самих носителей, так и формата данных) в течение периода их хранения с целью защиты от потери вследствие будущих изменений в информационных технологиях.

Системы хранения данных следует выбирать таким образом, чтобы требуемые данные могли быть извлечены способом, приемлемым для суда, действующего по нормам гражданского или общего права, например, возможность вывода всех необходимых записей в приемлемый период времени и в приемлемом формате.

Необходимо, чтобы система хранения обеспечивала четкую идентификацию данных, а также период их хранения, установленных законом или регулирующими требованиями. Эта система должна предоставлять возможности по уничтожению данных после того периода, когда у организации отпадет потребность в их хранении.

С целью выполнения данных обязательств организации следует:

- разработать руководство в отношении сроков, порядка хранения и утилизации информации;

- составить график хранения наиболее важных данных;

- вести опись источников ключевой информации;