Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

5.5.4        Безопасность оборудования

Меры безопасности, охватывающие аппаратное и программное обеспечение, вносят вклад, как отдельно, так и совместно, в безопасность информационных систем, позволяя:

a)        идентификация аппаратных конфигураций, включая периферийные устройства;

b)        контроль, гарантирующий отсутствие вредоносных или случайных модификаций аппаратных конфигураций;

c)        контроль, гарантирующий, что только авторизованные пользователи могут получить доступ к оборудованию.

Соответственно, вопросы безопасности должны приниматься во внимание при выборе оборудования и во время их установки и внедрения.

Чтобы ограничить риски незаконного перехвата информации третьими лицами из-за передач непроизвольных электромагнитных излучений, рекомендуется протестировать оборудование на соответствие IEC 61000-4.

5.5.5        Безопасность пользовательских программных и программных продуктов

Пользовательские программные и программные продукты являются неотъемлемой частью конфигурации системы; соответственно, они должны подвергаться тем же самым условиям безопасности, что и аппаратные средства.

Выбранные операционные системы и программные продукты должны обеспечивать:

- средства контроля доступа для повышения защиты;

- защита от вторжений и вредоносного программного обеспечения;

- средства управления, обеспечивающие отсутствие случайных или вредоносных изменений в конфигурациях программного обеспечения. Безопасность программного обеспечения обеспечивается с использованием:

НЕ нашли? Не то? Что вы ищете?

- средства контроля доступа, гарантирующие, что только авторизованные пользователи могут использовать программное обеспечение и информацию, к которой они имеют право доступа;

- системы обнаружения и мониторинга, чтобы выявлять и сообщать о любых попытках несанкционированного доступа. Целесообразно использовать программное обеспечение, которое находится в общественном достоянии или, когда это возможно, для получения источников от поставщика.

Для разработки программного обеспечения должны использоваться строгие методы; выбор лучших практик и проверок несет ответственность лицо, отвечающее за заявку.

Перед запуском в эксплуатацию программные и программные продукты должны быть надлежащим образом протестированы на машине, отличной от основной производственной машины, или на производственной машине в периоды операционного времени простоя, предварительно скопировав данные и индексы и удалив все соответствующие сменные носители информации.

Безопасность доступа и предоставления прав доступа к информационной системе должна быть тщательно изучена, разработана и внедрена с самого начала проектирования системы.

Программные и программные продукты должны быть особо защищены, а права доступа, допускающие их изменение или модификацию, должны предоставляться только уполномоченным лицам.

В случае неисправности отчет немедленно доставляется в орган безопасности, а неисправная часть информационной системы должна быть изолирована как можно быстрее.

5.5.6        Техническое обслуживание информационной системы

Информация, описывающая каждую операцию технического обслуживания, должна быть записана в технической документации информационной системы. Это должно включать в себя идентификацию операции технического обслуживания, как профилактической, так и лечебной, порученной либо организации, либо специализированным сторонним провайдерам.

Съемные носители, содержащие электронные документы и связанные с ними метаданные, никогда не должны оставаться на дисках во время операций по техническому обслуживанию.

Если носители не являются съемными, перед любой операцией по техническому обслуживанию (см. 5.5.8) создается действительная резервная копия.

Все тесты должны проводиться со съемными носителями, специально предназначенными для этой задачи. Если носители не являются съемными, не должно быть возможным, чтобы тесты изменяли или уничтожали записанную информацию.

Профилактическое обслуживание должно быть выполнено для обеспечения надлежащего функционирования информационной системы. В частности, должны проводиться регулярные проверки съемных дисков или фиксированных носителей, чтобы убедиться, что они находятся в надлежащем рабочем состоянии в соответствии с рекомендациями производителя.

5.5.7        Управление изменениями в системе и миграция средств массовой информации

Периодические обновления, модификация или замена оборудования или программного обеспечения планируются до их реализации.

Все эти операции должны быть подробно описаны в руководстве по техническому описанию информационной системы и зарегистрированы в журналах.

Долгосрочное сохранение и целостность документов и их метаданных должны обеспечиваться при осуществлении периодических операций обновления.

Могут применяться следующие две ситуации.

a)        Новые носители данных могут быть прочитаны бывшей информационной системой; все средства массовой информации должны быть проверены на предмет удобочитаемости на новом оборудовании для хранения данных до выхода на прежний носитель.

b)        новые носители данных не могут считывать носители, используемые прежней информационной системой; все документы, содержащиеся на прежних носителях, копируются на новые носители на аппаратной системе, которая временно использует оба типа носителей.

5.5.8        Резервные копии безопасности

Реализация информационной системы должна хранить как минимум две копии одной и той же информации в любое время, сохраненные в двух географически удаленных местах. По крайней мере одна копия должна быть записана на носители без изменений.

Средства массовой информации, используемые для резервных копий безопасности, могут иметь различный вид и тип для первичного носителя.

Когда носители имеют несъемный тип, должны быть реализованы две информационные системы в географически удаленных местах.

Когда носители имеют съемный тип, записи документов на носители резервного копирования должны выполняться как можно быстрее, чтобы обеспечить хранение в отдельном месте в основном месте.

Каждый раз, когда создается резервная копия безопасности, детали процесса, а также имена и характеристики файлов резервных копий записываются в журнал событий.

5.5.9        Непрерывность доступа к архивам

Как и в любой информационной системе, должна быть доступна и документирована процедура аварийного восстановления (также известная как план обеспечения непрерывности бизнеса).

Эта процедура разрешает восстановление системы без потери данных, метаданных, журналов или любых других наборов данных (список пользователей, архивные профили системы и т. д.).

Программное обеспечение и процедуры восстановления системных данных должны быть описаны в руководстве по техническому описанию.

Внедрение информационной системы должно гарантировать, что последний подтвержденный документ не может быть потерян в любой момент времени.

Информационная система автоматически создает запись о любых процессах восстановления.

5.6        Фиксация даты и времени

В рамках этой части ИСО 14641 существуют два возможных типа даты и времени, в зависимости от способа доставки (внутреннего или доверенного третьего лица), который должен включать в себя по меньшей мере следующие характеристики:

a)        создание отметки времени в соответствии с применимыми стандартами;

b)        сохранение маркера даты и времени для требуемых периодов;

c)        источник опорного времени;

d)        политика проверяемых операций для отметки даты и времени.

Для связанных операций выбранная форма даты и отметки времени должна быть описана в руководстве по техническому описанию.

Форматы дат и времени должны соответствовать ISO 8601.

Дата и отметка времени должны содержать полную дату, часы, минуты, секунды и доли секунд, отображаемые в следующем формате:

YYYY-MM-DDThh: мм: ss. sTZD

где

YYYY        указывает год, используя 4 символа;

М. М.        указывает месяц, используя 2 символа (например, 01 = январь);

DD        указывает день, используя 2 символа (от 01 до 31);

hh        указывает час, используя 2 символа (от 00 до 24);

mm        указывает минуты, используя 2 символа (от 00 до 59);

ss        указывают секунды, используя 2 символа (от 00 до 59);

s                один или несколько символов, представляющих десятичную долю секунды;

TZD        указывает часовой пояс (Z для UTC или + hh: mm или - hh: mm).

Пример - 2007-08-29T09: 36: 30.45 + 02: 00

Важно выбрать степень точности измерения времени, чтобы определить, каков максимальный уровень появления событий в информационной системе, а затем выбрать единицу времени, достаточно маленькую, чтобы гарантировать, что два события этого типа будут не носите ту же дату и время.

Для информации о дате используется координационное универсальное время (UTC).

В руководстве по техническому описанию указываются источники времени и методы и средства контроля, а также процессы синхронизации различных часов информационной системы.

Если для информационной системы требуется токен даты и времени, он должен быть предоставлен модулем создания аттестации (ACU) или независимой доверенной третьей стороной, внешней по отношению к информационной системе.

5.7        Аудиторская проверка

5.7.1        Общие

Любое событие, связанное с информационной системой или жизненным циклом документов, регистрируется. Журналы событий автоматически создаются информационной системой с меткой даты и времени (см. 5.6). Полное описание событий должно записываться последовательно в соответствующих журналах.

Все журналы должны быть описаны в руководстве по техническому описанию со всей соответствующей административной информацией. Журналы должны быть легко доступны и разборчивы.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11