Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

     10.1 Эксплуатационные процедуры и обязанности

Цель: Обеспечить уверенность в надлежащем и безопасном функционировании средств обработки информации.

Должны быть установлены обязанности и процедуры в отношении управления и эксплуатации всех средств обработки информации, включая также разработку соответствующих эксплуатационных процедур.

С целью сведения к минимуму риска неправильного использования систем вследствие небрежности или злого умысла, следует, по возможности, реализовать принцип разграничения обязанностей.

10.1.1 Документальное оформление эксплуатационных процедур

Мера и средство контроля и управления

Эксплуатационные процедуры следует документально оформлять, соблюдать и делать доступными для всех нуждающихся в них пользователей.

Рекомендация по реализации

Документально оформленные процедуры должны быть подготовлены для действий системы, связанных со средствами обработки информации и связи, таких как процедуры запуска и завершения работы компьютеров (серверов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обращения с носителями информации, управление работой в машинном зале и работы с почтой, а также процедуры обеспечения безопасности.

Данные процедуры должны содержать детальные инструкции по выполнению каждой работы, включая:

a) обработку и управление информацией;

b) резервирование (см. 10.5);

c) требования в отношении графика работ, включая взаимозависимости между системами, время начала самой ранней работы и время завершения самой последней работы;

d) инструкции по обработке ошибок или других исключительных ситуаций, которые могли бы возникнуть в процессе выполнения работы, включая ограничения на использование системных утилит (см. 11.5.4);

e) необходимые контакты на случай неожиданных эксплуатационных или технических проблем;

f) специальные инструкции по управлению выводом данных и обращению с носителями информации, например использование специальной бумаги для печатающих устройств или управление выводом конфиденциальных данных, включая процедуры по безопасной утилизации выходных данных в случае сбоев в работе (см. 10.7.2 и 10.7.3);

g) перезапуск системы и соответствующие процедуры восстановления на случай системных сбоев;

h) управление информацией, содержащейся в контрольных записях и системных журналах (см. 10.10).

Эксплуатационные процедуры и документально оформленные процедуры действий системы должны рассматриваться как официальные документы, а изменения в них должны санкционироваться руководством. Если технически возможно, менеджмент информационных систем необходимо осуществлять единообразно, используя одни и те же процедуры, инструментальные средства и утилиты.

10.1.2 Управление изменениями

Мера и средство контроля и управления

Изменения в конфигурации средств обработки информации и системах должны контролироваться.

Рекомендация по реализации

Эксплуатируемые системы и прикладное программное обеспечение должны быть предметом строгого контроля управления изменениями.

В частности, необходимо рассмотреть следующие аспекты:

a) определение и регистрацию существенных изменений;

b) планирование и тестирование изменений;