Тестирование системы нужно выполнять|исполнить| в реалистичной|реалистичной| испытательной среде, чтобы гарантировать, что|который| система не создаст уязвимостей для среды организации,|структуры| и что испытания были надежными.

10.3. Тестовые данные

Цель: Обеспечить защиту данных, используемых при тестировании.

Защита тестовых данных

Меры и средства

Тестовые данные должны тщательно подбираться, защищаться и контролироваться.

Рекомендации по реализации

Тестовые данные не должны содержать персональных данных и конфиденциальной информации. Если персональные данные или любая конфиденциальная информация необходима для тестирования, все чувствительные детали и содержание должны быть защищены удалением или модификацией.

Необходимо применять следующие принципы для защиты тестовых данных:

– процедуры разграничения доступа, применяемые в эксплуатируемых системах, должны применяться и в системах тестирования;

– должна быть отдельная авторизация на каждый случай копирования операционной информации в среду тестирования;

– после завершения тестирования всю операционную информацию следует немедленно удалить из среды тестирования;

– копирование и использование операционной информации должно протоколироваться для дальнейшего аудита.

Системное и приемное испытание, как правило, требуют значительных объемов тестовых данных, которые должны быть как можно более закрыты для попадания в них операционных данных.

Взаимоотношения с поставщиками определяют следующие составляющие:

– ИБ в отношениях с поставщиками;

– управление оказанием услуг.

11.1. ИБ в отношениях с поставщиками

Цель: Обеспечить защиту активов организации, доступных поставщикам.

ИБ при взаимоотношении с поставщиками определяют следующие составляющие:

– политика ИБ в отношениях с поставщиками;

– включение ИБ в договор с поставщиками;

– ИКТ цепочки поставок.

Политика ИБ в отношениях с поставщиками

Меры и средства

Для уменьшения рисков, связанных с доступом поставщика к активам организации, должны быть согласованы с поставщиком и задокументированы требования ИБ.

Рекомендации по реализации

Организация должна в политике определить и обозначить меры ИБ конкретного доступа поставщика к информации организации. Эти меры предусматривают внедрение как организацией, так и поставщиком, процессов и процедур, включающих:

– определение и документирование типов поставщиков, например, ИТ сервисы, программы логистики, финансовые сервисы, компоненты ИТ инфраструктуры, которым организация предоставит доступ к своей информации;

– стандартный процесс и жизненный цикл управления отношениями с поставщиком;

– определение типов информационного доступа, который получат разные типы поставщиков, и мониторинг и контроль доступа;

– минимум требований ИБ к каждому типу информации и типу доступа в качестве базы для индивидуальных соглашений с поставщиком на основании бизнес-требований организации и их профиля риска;

– процессы и процедуры мониторинга соблюдения установленных требований ИБ для каждого типа поставщика и типа доступа, включая третью сторону анализа и проверки продукта;

– точность и полнота мер защиты, дающая гарантию целостности информации или ее обработки другим участником;

– типы обязательств, применимых к поставщикам для защиты информации организации;

– обработка инцидентов и непредвиденных обстоятельств, связанных с доступом поставщика, включая обязанности как организации, так и поставщиков;

– устойчивость и, при необходимости, восстановление и резервные механизмы обеспечения доступности информации или ее обработки другой стороной;

– обучение персонала организации, занимающегося покупками, применяемым политикам, процессам и процедурам;

– обучение персонала организации, взаимодействующего с персоналом поставщика, правилам сотрудничества и поведения с учетом типа поставщика и уровня его доступа к системам и информации организации;

– условия, при которых требования и меры ИБ должны быть прописаны в соглашении, подписываемом обеими сторонами;