1. Аутсорсинг разработки ПО (12.5.5)
1.1. Контроль разработки через внешние организации
1.1.1. Лицензионные соглашения и права интеллектуальной собственности.
1.1.2. Сертификация качества.
1.1.3. Условия депонирования.
1.1.4. Права доступа для проверки работы.
1.1.5. Требования к качеству и безопасности.
1.1.6. Тестирование на наличие вредоносного ПО перед установкой.
2. Процедуры управления изменениями (12.5.1)
2.1. Контроль изменений: Внесение изменений контролируется формальными процедурами управления.
2.2. Оценка рисков: Все изменения должны анализироваться на предмет возможных нарушений безопасности.
2.3. Документирование: Введение новых и изменения существующих систем сопровождается документированием и тестированием.
2.3.1. Учет уровней разрешений.
2.3.2. Анализ целостности мер контроля.
2.3.3. Обновление документации.
2.3.4. Управление версиями ПО.
2.3.5. Записи всех запросов на изменение.
2.3.6. Ограничения для программистов: Доступ только к тем частям системы, которые необходимы для работы.
3. Техническая проверка после изменений (12.5.2)
3.1. Тестирование систем после изменений: Анализ и тестирование прикладных программ для предотвращения влияния на функционирование и безопасность.
3.2. Планирование и бюджетирование: Поддержка системы требует ежегодного анализа и тестирования при изменениях.
3.3. Оповещение о системных изменениях: Необходимы своевременные уведомления для проведения тестирования.
3.4. Обновление планов непрерывности бизнеса: Внесение изменений в планы в соответствии с изменениями систем.
4. Предотвращение утечки информации (12.5.4)
4.1. Контроль скрытых каналов передачи
4.1.1. Сканирование носителей информации и каналов связи.
4.1.2. Маскирование поведения систем для уменьшения рисков.
4.1.3. Использование надежных систем и ПО.
4.2. Мониторинг деятельности: Регулярный мониторинг использования систем и ресурсов.
4.3. Защита от "троянских программ": Принятие мер по защите от вредоносного ПО снижает риск утечки.
5. Ограничения на изменения пакетов программ (12.5.3)
5.1. Избегание модификаций: Необходимо минимизировать изменения программных пакетов.
5.2. Риски изменений
5.2.1. Риски для встроенных средств контроля.
5.2.2. Согласие поставщика.
5.2.3. Возможные обновления от поставщика.
5.2.4. Ответственность за сопровождение ПО.