Nákup, vývoj a údržba informačního systému

A.12.1 Bezpečnostní požadavky systémů

Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.

A.12.1.1 Analýza a specifikace

bezpečnostních požadavků

Opatření

Požadavky organizace na nové informační systémy

nebo na rozšíření existujících systémů by měly

obsahovat také požadavky na bezpečnostní opatření. A.12.2 Správné zpracování v aplikacích

Cíl: Předcházet chybám, ztrátě, modifikaci nebo zneužití uživatelských dat v aplikacích.

A.12.2.1 Kontrola vstupních dat Opatření

Vstupní data aplikací by měla být kontrolována z hlediska

správnosti a adekvátnosti.

A.12.2.2 Kontrola vnitřního

zpracování

Opatření

Pro detekci jakéhokoliv poškození nebo modifikace

informací vzniklého chybami při zpracování nebo

úmyslnými zásahy, by mělo být zváženo začlenění

kontroly platnosti dat.

A.12.2.3 Integrita zprávy Opatření

U jednotlivých aplikací by měly být stanoveny

bezpečnostní požadavky na zajištění autentizace a

integrity zpráv, dle potřeby určena, a zavedena vhodná

opatření.

A.12.2.4 Kontrola výstupních dat Opatření

Pro zajištění toho, že zpracování uložených informací je

bezchybné a odpovídající dané situaci, by mělo být

provedeno ověření platnosti výstupních dat.

A.12.3 Kryptografická opatření

Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.

A.12.3.1 Politika pro použití

kryptografických opatření

Opatření

Měla by být vytvořena a zavedena pravidla pro používání

kryptografických opatření na ochranu informací.

A.12.3.2 Správa klíčů Opatření

Na podporu používání kryptografických technik

v organizaci by měl existovat systém jejich správy.

A.12.4 Bezpečnost systémových souborů

Cíl: Zajistit bezpečnost systémových souborů

A.12.4.1 Správa provozního

programového vybavení

A.12.4.2 Ochrana systémových

testovacích údajů

A.12.4.3 Řízení přístupu ke knihovně

zdrojových kódů

Opatření

Měly by být zavedeny postupy kontroly instalace

programového vybavení na provozních systémech.

Opatření

Testovací data by měla být pečlivě vybrána, chráněna

a kontrolována.

Opatření

Přístup ke knihovně zdrojových kódů by měl být

omezen.

A.12.5 Bezpečnost procesů vývoje a podpory

Cíl: Udržovat bezpečnost programů a informací aplikačních systémů.

A.12.5.1 Postupy řízení změn Opatření

Měly by být zavedeny formální postupy řízení změn.

A.12.5.2 Technické přezkoumání

aplikací po změnách

operačního systému

Opatření

V případě změny operačního systému by měly být

přezkoumány a otestovány kritické aplikace, aby bylo

zajištěno, že změny nemají nepříznivý dopad na provoz

nebo bezpečnost organizace. A.12.5.3 Omezení změn

programových balíků

Opatření

Modifikace programových balíků by měly být omezeny

pouze na nezbytné změny, veškeré prováděné změny

musí být řízeny.

A.12.5.4 Únik informací Opatření

Mělo by být zabráněno úniku informací.

A.12.5.5 Programové vybavení

vyvíjené externím

dodavatelem

A.12.6 Řízení technických zranitelností

Opatření

Vývoj programového vybavení externím dodavatelem

by měl být organizací dohlížen a monitorován.

Cíl: Snížit rizika vyplývající ze zneužití veřejně publikovaných technických zranitelností.

A.12.6.1 Řízení, správa a kontrola

technických zranitelností

Opatření

Mělo by být zajištěno včasné získání informace o

existenci technické zranitelnosti v provozovaném

informačním systému, vyhodnocena úroveň ohrožení

organizace vůči této zranitelnosti a přijata příslušná

opatření na pokrytí souvisejících rizik.

a