Шрифт:
– процедуры мониторинга.
Управление изменениями
Меры и средства
Изменения в организации, бизнес-процессах и средствах обработки информации, влияющих на ИБ, должны контролироваться.
Рекомендации по реализации
В частности, необходимо рассмотреть следующие аспекты:
– определение и регистрацию существенных изменений;
– планирование и тестирование изменений;
– оценку возможных влияний таких изменений, включая влияния на ИБ;
– формальную процедуру утверждения предлагаемых изменений;
– проверку соответствия требованиям ИБ;
– подробное информирование об изменениях всех заинтересованных лиц;
– процедуры возврата в исходный режим, включая прерывание и последующее восстановление в случае неудачных изменений и непредвиденных обстоятельств;
– процесс чрезвычайного изменения для активации быстрого и контролируемого внедрения изменений, необходимых для решения инцидента.
Необходимо следовать формальным процедурам и обязанностям управления для достаточного контроля всех изменений. Журнал аудита, содержащий всю соответствующую информацию, должен сохраняться.
Неадекватный контроль изменений в системах и средствах обработки информации является общей причиной нарушений системы и безопасности. Изменения эксплуатационной среды, особенно при переводе системы из стадии разработки в стадию эксплуатации, могут влиять на надежность приложений.
Управление мощностью
Меры и средства
Использование ресурсов должно контролироваться, регулироваться и прогнозироваться в соответствии с будущими требованиями мощности для обеспечения требуемой производительности системы.
Рекомендации по реализации
Требования мощности должны быть определены с учетом бизнес-критичности связанных систем. Следует осуществлять мониторинг и регулирование системы для обеспечения и, при необходимости, повышения ее доступности и эффективности. Должны быть внедрены поисковые системы контроля для выявления проблем с течением времени.
Прогнозирование требований к производительности должно учитывать новые требования бизнеса и новые системные требования, а также современные и будущие тенденции возможностей обработки информации.
Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям следует контролировать использование ключевых системных ресурсов. Они должны определять тенденции в использовании, в частности, бизнес-приложений или инструментов управления ИС.
Руководство должно использовать эту информацию для определения и предотвращения потенциальных узких мест и зависимости от персонала, который может нанести ущерб безопасности системы или сервисов, а также планирования соответствующих действий.
Обеспечение достаточной мощности должно достигаться ее увеличением или снижением ее потребности. Примерами такого снижения могут быть:
– удаление устаревших данных (чистка диска);
– вывод из эксплуатации приложений, систем, баз данных;
– оптимизация групповых процессов и режимов;
– оптимизация логики приложения и запросов базы данных;
– запрет или ограничения трафика для ресурсоемкого сервиса, если он не критичен для бизнеса (например, потоковое видео).
Для целевых критичных систем следует разработать и задокументировать план управления мощностью.
Разделение сред разработки, тестирования и эксплуатации
Меры и средства
Среды разработки, тестирования и эксплуатации должны быть разделены для снижения рисков несанкционированного доступа к эксплуатационной среде или ее изменений.
Рекомендации по реализации
Уровень разделения сред разработки, тестирования и эксплуатации должен быть определен и обеспечен для предотвращения эксплуатационных проблем.
Необходимо рассмотреть следующие вопросы:
– правила перевода ПО между состояниями разработки и эксплуатации должны быть определены и задокументированы;
– разработка и эксплуатация ПО должна осуществляться на разных системах или компьютерных процессорах в различных доменах или директориях;