ISO/EIC 17799:2000

заранее, чтобы согласовать введение необходимых мер с подрядчиком и оговорить это в контракте (рекомендации по заключению контрактов со сторонними организациями, предполагающих доступ к принадлежащим организации средствам обработки, и контрактов на аутсорсинг можно найти в разделах 4.2.2 и 4.3).

Вот некоторые вопросы, которым следует уделить внимание:

a)определение конфиденциальных или критичных операций, которые желательно проводить внутри организации;

b)получение одобрения от владельцев бизнес-приложений;

c)влияние на план поддержки непрерывности бизнеса;

d)стандарты безопасности, которым необходимо следовать, и процедура оценки их соблюдения;

e)определение конкретных обязанностей и правил, обеспечивающих эффективное наблюдение за всеми действиями, влияющими на безопасность;

f)определение обязанностей и правил уведомления при возникновении инцидентов и реакции на эти инциденты (см. раздел 8.1.3).

8.2 Планирование разработки и приемка системы

Цель: Свести к минимуму риск сбоев системы.

Чтобы обеспечить наличие необходимой мощности и ресурсов, требуется заблаговременное планирование и подготовка.

Необходимо сделать прогноз мощности системы, которая потребуется в будущем, чтобы уменьшить риск перегрузки системы. Требования к новой системе необходимо определить, задокументировать и проверить до их утверждения и начала использования.

8.2.1 Планирование мощности

Необходимо следить за требованиями к мощности системы и прогнозировать развитие этих требований в будущем, чтобы гарантировать наличие необходимой вычислительной мощности и объема устройств хранения. При прогнозах необходимо учитывать возникающие требования к системе, развитие деятельности организации, а также текущие и прогнозируемые тенденции в области обработки информации в организации.

Особого внимания при этом требуют компьютеры-мэйнфреймы, поскольку они имеют значительно большую стоимость и имеют более длительный технологический цикл введения новых функций. Руководители, ответственные за мэйнфреймы, должны следить за использованием основных системных ресурсов, включая процессоры, основные устройства хранения, устройства хранения файлов, принтеры и другие устройства вывода, а также средства связи. Они должны определять тенденции в использовании, в особенности по отношению к бизнес-приложениям и автоматизированным системам управления.

На основе этой информации руководители должны определять и предотвращать возможность возникновения узких мест, которая может угрожать безопасности системы или пользовательских сервисов, и планировать соответствующие коррективные меры.

8.2.2 Приемка систем

Необходимо установить критерии приемки для новых информационных систем, обновлений и новых версий. Перед приемкой система должна проходить соответствующее тестирование.