Вопрос 38: Рекомендация ITU-T X.1051. Разр. и тех. обсл. сист.: безопасность системных файлов

Цель: для обеспечения безопасности доступ к системным файлам должен контролироваться.

Необходимы процедуры для управления реализацией программного обеспечения в эксплуатационных системах.

Для минимизации риска нарушения работы эксплуатационных систем должны учитываться следующие руководящие указания:

–        обновление эксплуатационного программного обеспечения, приложений и библиотек программ должно выполняться только обученными администраторами, имеющими соответствующее разрешение в системе управления;

–        программное обеспечение приложений и операционных систем должно включаться в работу только после обширного, достаточного и успешного тестирования. Если они должны быть применены в таких чувствительных системах, как коммутационные средства, то тест должен выполняться с полным охватом всех частей;

–        все обновления библиотек эксплуатационных программ должны быть зарегистрированы в контрольном журнале;

–        предыдущие версии прикладного программного обеспечения должны сохраняться на непредвиденный случай. В случае программного обеспечения конфиденциального приложения должны храниться, по крайней мере, три поколения программного обеспечения;

–        старые версии программного обеспечения должны архивироваться вместе со всей необходимой информацией и параметрами, процедурами, деталями конфигурации и с поддерживающим программным обеспечением;

–        любое решение об обновлении к новой версии должно учитывать безопасность этой версии, т. е. введение новой функциональной возможности безопасности или количество и строгость проблем безопасности, затрагивающих эту версию;

–         в программном обеспечении должны применяться "заплаты", если они могут помочь устранить или уменьшить слабые места безопасности.

Данные тестирования должны быть защищены и должны контролироваться.

При тестировании данных должно быть исключено использование эксплуатационных данных, содержащих личную информацию или любую другую конфиденциальную информацию. Если для тестирования используется личная или конфиденциальная информация, то все конфиденциальные детали и содержимое должны быть удалены или изменены до неузнаваемости перед началом тестирования.

Для защиты эксплуатационных данных, используемых для целей тестирования, должны применяться следующие руководящие указания:

–        процедуры управления доступом, которые применяются к эксплуатационным прикладным системам, должны применяться также к тестовым прикладным системам;

–        отдельная авторизация должна производиться каждый раз, когда эксплуатационная информация копируется в тестовую прикладную систему;

–         эксплуатационная информация должна быть обязательно стерта из тестовой прикладной системы сразу после завершения тестирования.

Должен осуществляться строгий контроль доступа к библиотеке текстов программ.

Для уменьшения вероятности порчи компьютерных программ должны учитываться следующие требования к контролю доступа к библиотекам текстов программ:

–        библиотеки текстов программ не должны храниться в эксплуатационных системах;

–        персонал, поддерживающий информационные технологии для средств электросвязи, не должен иметь неограниченного доступа к библиотекам текстов программ;

–        программы, которые разрабатываются или технически обслуживаются, не должны содержаться в библиотеке текстов эксплуатационных программ. Эти программы должны храниться в разрабатываемых или технически обслуживаемых средствах;

–        в контрольном журнале должны производиться записи обо всех доступах к библиотекам текстов программ;

–         техническое обслуживание и копирование библиотек текстов программ должно быть объектом строгих процедур контроля изменений.