ВУЗ:
г) Случаи копирования реальных данных необходимо регистриро-
вать в контрольном журнале.
8.9. Безопасность в среде разработки и рабочей среде
Среду разработки и рабочую среду необходимо жестко контроли-
ровать. Администраторы, отвечающие за прикладные системы, должны
также отвечать за защиту среды разработки и рабочей среды. Они
должны анализировать все изменения, которые предлагается внести в
системы, чтобы гарантировать, что они не нарушат безопасность систе-
мы или рабочей среды.
8.10. Процедуры управления процессом внесения изменений
Чтобы свести риск повреждения информационных систем к мини-
муму, следует осуществлять жесткий контроль за внесением изменений
в них. Для этого требуются формальные процедуры управления процес-
сом внесения изменений. Эти процедуры должны гарантировать, что
безопасность и процедуры управления ею не будут скомпрометирова-
ны, что программистам, отвечающих за поддержку систем, предостав-
лен доступ только к тем компонентам системы, которые необходимы
для их работы, и что получено формальное разрешение на внесение из-
менений. Такой процесс должен включать в себя следующее:
а) регистрацию согласованных уровней полномочий, в том числе:
•
служба приема запросов на внесение изменений группой, обслужи-
вающей информационные системы;
•
полномочия пользователей на подачу запросов на внесение изменений;
•
уровни полномочий пользователей на принятие подробных предложений;
•
полномочия пользователей на принятие вносимых изменений;
б) принятие изменений, предлагаемых только зарегистрированны-
ми пользователями;
в) проверку средств управления безопасностью и процедур обеспече-
ния целостности на предмет их компрометации внесенными изменениями;
г) выявление всех компьютерных программ, файлов данных, баз
данных и аппаратных средств, которые требуют внесения поправок;
д) утверждение подробных предложений до начала работы;
е) обеспечение принятия предлагаемых изменений зарегистриро-
ванными пользователями до их внесения;
ж) обновление системной документации по завершении процесса
внесения каждого изменения, а также архивирование или уничтожение
старой документации;
154
Страницы
- « первая
- ‹ предыдущая
- …
- 152
- 153
- 154
- 155
- 156
- …
- следующая ›
- последняя »
