- программы, находящиеся в процессе разработки или текущего обслуживания, не следует хранить в библиотеках с исходными текстами программ, находящихся в промышленной эксплуатации; - обновление библиотек и обеспечение программистов исходными текстами следует осуществлять только назначенному специалисту - библиотекарю после авторизации, полученной от менеджера, отвечающего за поддержку конкретного бизнес-приложения; - листинги программ следует хранить в безопасном месте (8.6.4); - следует вести журнал аудита для всех доступов к исходным библиотекам; - старые версии исходных текстов необходимо архивировать с указанием точных дат и времени, когда они находились в промышленной эксплуатации, вместе со всем программным обеспечением поддержки, управления заданиями, определениями данных и процедурами; - поддержку и копирование исходных библиотек следует проводить под строгим контролем с целью предотвращения внесения неавторизованных изменений (10.4.1). 10.5 Безопасность в процессах разработки и поддержки Цель: поддержание безопасности прикладных систем и информации. Менеджеры, ответственные за прикладные системы, должны быть ответственными и за безопасность среды проектирования или поддержки. Они должны проводить анализ всех предложенных изменений системы и исключать возможность компрометации безопасности как системы, так и среды промышленной эксплуатации. 10.5.1 Процедуры контроля изменений Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений - строго придерживаться формализованных процедур обеспечения информационной безопасности; осуществлять контроль за возможной компрометацией самих процедур; программистам, отвечающим за поддержку, предоставлять доступ только к тем частям системы, которые необходимы для их работы; обеспечивать формализацию и одобрение соответствующим руководством всех изменений. Изменения в прикладном программном обеспечении могут повлиять на информационную безопасность используемых бизнес-приложений. Там, где это возможно, следует объединять меры по обеспечению информационной безопасности используемых бизнес-приложений и изменений в прикладных программах (3.1.2). Необходимо, чтобы этот процесс включал: - обеспечение протоколирования согласованных уровней авторизации; - обеспечение уверенности в том, что запросы на изменения исходят от авторизованных соответствующим образом пользователей; - анализ мер информационной безопасности и процедур, обеспечивающих целостность используемых систем; - идентификацию всего программного обеспечения, информации, объектов, баз данных и аппаратных средств, требующих изменений; - получение формализованного одобрения детальных запросов/предложений на изменения перед началом работы; - разрешение внесения изменений в прикладные программы авторизованным пользователем до их непосредственной реализации; - осуществление процесса внедрения изменений в прикладные программы с минимальными отрицательными последствиями для бизнеса; - обеспечение обновления комплекта системной документации после завершения каждого изменения и архивирование или утилизация старой документации; - поддержку контроля версий для всех обновлений программного обеспечения; - регистрацию в журналах аудита всех запросов на изменение; - коррекцию эксплуатационной документации (8.1.1) и пользовательских процедур в соответствии с внесенными изменениями; - осуществление процесса внедрения изменений в согласованное время без нарушения затрагиваемых бизнес-процессов. Во многих организациях используется среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита операционной информации, используемой в процессе тестирования. Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |