Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
d) список программных продуктов и соответствующей документации, идентификация установленных версий и даты установки этих версий;
e) список настраиваемых программных приложений с их файлом дизайна / архитектуры, их исходный код или доказательство их депозита под стражу;
f) описание взаимодействия между различными компонентами информационной системы;
g) описание физической среды (температуры, минимальной и максимальной влажности и т. д.) в отношении спецификаций, предоставляемых производителями оборудования для обеспечения надлежащей функциональности и сохранения информационных носителей;
h) описание технической и физической среды для удовлетворительного функционирования информационных систем (например, тип источника питания, генератор, система обнаружения пожара, реализация избыточности);
i) описание мер физической защиты для обеспечения безопасности (охрана, дистанционное обнаружение, сейфы, замки, электромагнитная защита и т. д.);
j) описание требований к обслуживанию информационной системы.
5.3 Профили архивных систем
Профиль архивной системы представляет собой набор правил, применимых к документам, использующим одни и те же критерии конфиденциальности, продолжительности сохранения, уничтожения и прав доступа для захвата, извлечения или удаления. Эти правила также определяют метаданные, которые должны быть связаны с документами, управляемыми в профиле.
Профиль архивной системы должен содержать, в частности, права лиц и / или приложений, уполномоченных:
a) изменить профиль архивной системы;
b) внести депозит;
c) доступ (просмотр или воспроизведение) депозита;
d) продлить или уменьшить продолжительность депозита;
e) удалять или распоряжаться депозитом либо преждевременно, либо как планировалось.
Любое создание, изменение или удаление профиля архивной системы должно быть архивировано в журнале жизненного цикла архивов, хранящемся под ответственностью службы архивации организации, или доверенной третьей стороной.
Профиль архивной системы может быть определен для отдельных электронных документов. Однако для массового архивирования это может быть чрезвычайно трудоемким. Следовательно, в этом случае предпочтительнее использовать набор предопределенных правил, сгруппированных в более общий профиль архивной системы.
5.4 Эксплуатационные процедуры
5.4.1 Общие
Организация должна создать процедуры для хранения, хранения, доступа и реституции документов. Эти процедуры должны быть подробно описаны в руководстве по техническому описанию и должны содержать по меньшей мере следующую информацию:
- методы и процедуры, используемые для поиска и печати;
- методы и процедуры для производства всех видов аттестации;
- методы и процедуры хранения и хранения носителей и инфраструктур хранения;
- используемые форматы файлов;
- методы и процедуры дублирования и тиражирования документов и резервных копий;
- методы и процедуры, используемые для цифрового шифрования и целостности данных.
5.4.2 Отсканированные документы
В дополнение к процедурам, определенным в 5.4.1, где предпринимается сканирование документов, следующие процедуры должны быть включены в описание руководства техническим:
- методы и процедуры, используемые для оцифровки (описание проверяемого документа и любых конкретных отличительных признаков, необходимые предварительные операции, такие как выбор выходных форматов, разрешение изображения, метод сжатия, если они используются, восстановление документа после оцифровки, если применимо и т. д.);
- методы и процедуры, используемые для индексации (расположение документа, ссылки на идентификационные данные документа, оборудование или сопроводительные ваучеры, идентификационные ссылки электронных сообщений);
- методы и процедуры для связанных метаданных и любое связанное с ними обогащение связанных метаданных;
- методы и процедуры, используемые для контроля качества (использование контрольных целей для оцифровки, количество страниц отсканированных партий, контроль фильтров электронных сообщений, управление кодом, если таковые имеются, в отношении справочных таблиц и т. д.);
- методы и процедуры, используемые для уничтожения исходного документа, если это применимо.
5.4.3 Цифровые документы
В дополнение к процедурам, определенным в 5.4.1, в которых участвуют документы с цифровым документом, в руководство по техническому описанию должны быть включены следующие процедуры:
- методы или процедуры, используемые для передачи, получения и контроля документов, подлежащих архивированию;
- методы и процедуры для связанных метаданных и любое возможное обогащение связанных метаданных;
- методы и процедуры, касающиеся преобразования форматов цифровых документов во время захвата в информационную систему или позже, если форматы устаревают.
5.5 Безопасность
5.5.1 Управление и организация безопасности
Все организации должны иметь процедуру управления для обеспечения безопасности своей информационной системы.
Примечание - Для требований безопасности следует обратиться к ISO / IEC 27001 и соответствующим стандартам.
Система управления безопасностью должна быть отдельной и отдельной от администрирования операций информационной системы или телекоммуникационных систем. Его структура и управление должны быть четко определены и переданы всему персоналу организации.
Администрация и организация безопасности информационной системы должны применять принципы, унаследованные от общей стратегии или политики организации и уже существующих правил, в частности:
- управление ключами помещений;
- системы безопасности для обнаружения, вторжения и аварийных сигналов;
- соответствие аппаратуры нормам, касающимся безопасности человека (см. IEC 61000-4);
- эксплуатация программных продуктов, источники которых известны и доступны;
- разработка адекватно документированного и протестированного пользовательского программного обеспечения;
- управление профилями доступа к информационной системе (справочник);
- использование сетей передачи данных с функциями проверки целостности, операторы безопасности и безопасности;
- использование сторонних поставщиков (безопасность, охрана, уборка, обслуживание).
5.5.2 Оценка риска
Меры безопасности часто разрабатываются с использованием специального подхода в ответ на инциденты, связанные с безопасностью, или с наличием компьютерных программных средств. Такие процедуры часто оставляют пробелы в безопасности, которые заполняются только позднее. Более структурированный подход заключается в анализе информационных активов организации и определении факторов риска (основанных на стоимости активов, уязвимости системы и вероятности атаки). Затем может быть подготовлена и утверждена политика информационной безопасности, в соответствии с которой меры безопасности могут быть проверены.
Организация должна провести анализ рисков информационной безопасности и документировать полученные результаты.
Особое значение имеют меры безопасности, используемые для управления носителями информации, как с живыми медиа, так и с резервными носителями. Анализ риска должен включать факторы риска уязвимости, соответствующие типу используемого носителя (например, WORM или перезаписываемый).
Если используются различные типы носителей, их влияние на результаты анализа рисков должно быть пересмотрено.
Как только анализ рисков будет завершен, он будет действовать в рамках обзора осуществленных мер безопасности. В процессе обзора учитываются такие факторы, как баланс между затратами на реализацию, достигнутая безопасность и оценка рисков.
По результатам анализа рисков существующие меры безопасности должны быть проанализированы с точки зрения эффективности.
Если в обзоре указывается, что изменения в процедурах обеспечения безопасности являются подходящими, указанные изменения должны быть реализованы.
5.5.3 Физическая безопасность
Необходимо принять меры для обеспечения физической безопасности, в том числе предотвращения несанкционированного доступа к аппаратным средствам, к телекоммуникационным системам, информации о медиа-носителе и информации, обеспечивающей их поиск и отображение, аудиторские журналы, журналы и резервные копии.
Если требуется непрерывность доступа, рекомендуется использовать несколько безопасных помещений для минимизации риска, используя разные сайты для СМИ и / или систем, содержащих резервные копии (копии) информации и механизмов для их эксплуатации. Съемные носители должны постоянно контролироваться во время их обработки и / или передачи из одного защищенного места другому. Должна быть возможность идентифицировать всех держателей всех носителей в любой момент времени. Когда съемные носители фактически не используются, они должны храниться в определенных защищенных местах. Если предполагается уничтожение физических документов, конкретные процедуры обеспечения безопасности эти операции должны выполняться как для оригинальных аналоговых документов на бумажной основе, так и для документов с цифровым документом. Если документы, содержащие документы, должны быть удалены, должны быть приняты соответствующие меры, чтобы сделать невозможным восстановление информации, первоначально сохраненной на средствах массовой информации.5.5 .4 Аппаратная безопасность. Меры безопасности, охватывающие аппаратное и программное обеспечение, вносят как отдельно, так и совместно друг в друга безопасность информационных систем, позволяя: а) идентифицировать аппаратные конфигурации, включая периферийные устройства; б) контроль, гарантирующий отсутствие вредоносных или случайных модификаций аппаратных конфигураций ; c) контроль, гарантирующий, что только авторизованные пользователи могут получить доступ к оборудованию. Соответственно, sec вопросы защиты должны учитываться при выборе оборудования и во время их установки и внедрения. Чтобы ограничить риски незаконного перехвата информации третьими лицами из-за передач непроизвольных электромагнитных излучений, рекомендуется протестировать оборудование на соответствие требованиям IEC 61000 -4.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 |
