1. Процедуры управления изменениями (12.5.1)
1.1. Контроль изменений: Внесение изменений контролируется формальными процедурами управления.
1.2. Оценка рисков: Все изменения должны анализироваться на предмет возможных нарушений безопасности.
1.3. Документирование: Введение новых и изменения существующих систем сопровождается документированием и тестированием.
1.3.1. Учет уровней разрешений.
1.3.2. Анализ целостности мер контроля.
1.3.3. Обновление документации.
1.3.4. Управление версиями ПО.
1.3.5. Записи всех запросов на изменение.
1.3.6. Ограничения для программистов: Доступ только к тем частям системы, которые необходимы для работы.
2. Техническая проверка после изменений (12.5.2)
2.1. Тестирование систем после изменений: Анализ и тестирование прикладных программ для предотвращения влияния на функционирование и безопасность.
2.2. Планирование и бюджетирование: Поддержка системы требует ежегодного анализа и тестирования при изменениях.
2.3. Оповещение о системных изменениях: Необходимы своевременные уведомления для проведения тестирования.
2.4. Обновление планов непрерывности бизнеса: Внесение изменений в планы в соответствии с изменениями систем.
3. Ограничения на изменения пакетов программ (12.5.3)
3.1. Избегание модификаций: Необходимо минимизировать изменения программных пакетов.
3.2. Риски изменений
3.2.1. Риски для встроенных средств контроля.
3.2.2. Согласие поставщика.
3.2.3. Возможные обновления от поставщика.
3.2.4. Ответственность за сопровождение ПО.
3.3. Оригинальное ПО: Оригинальное ПО сохраняется, изменения вносятся в копии.
3.4. Тестирование и документация: Все изменения тщательно тестируются и документируются.
4. Предотвращение утечки информации (12.5.4)
4.1. Контроль скрытых каналов передачи
4.1.1. Сканирование носителей информации и каналов связи.
4.1.2. Маскирование поведения систем для уменьшения рисков.
4.1.3. Использование надежных систем и ПО.
4.2. Мониторинг деятельности: Регулярный мониторинг использования систем и ресурсов.
4.3. Защита от "троянских программ": Принятие мер по защите от вредоносного ПО снижает риск утечки.
5. Аутсорсинг разработки ПО (12.5.5)
5.1. Контроль разработки через внешние организации
5.1.1. Лицензионные соглашения и права интеллектуальной собственности.
5.1.2. Сертификация качества.
5.1.3. Условия депонирования.
5.1.4. Права доступа для проверки работы.
5.1.5. Требования к качеству и безопасности.
5.1.6. Тестирование на наличие вредоносного ПО перед установкой.