Nákup, vývoj a údržba informačního systému
A.12.1 Bezpečnostní požadavky systémů
Cíl: Zajistit, aby se bezpečnost stala neodlučitelnou součástí informačních systémů.
A.12.1.1 Analýza a specifikace
bezpečnostních požadavků
Opatření
Požadavky organizace na nové informační systémy
nebo na rozšíření existujících systémů by měly
obsahovat také požadavky na bezpečnostní opatření. A.12.2 Správné zpracování v aplikacích
Cíl: Předcházet chybám, ztrátě, modifikaci nebo zneužití uživatelských dat v aplikacích.
A.12.2.1 Kontrola vstupních dat Opatření
Vstupní data aplikací by měla být kontrolována z hlediska
správnosti a adekvátnosti.
A.12.2.2 Kontrola vnitřního
zpracování
Opatření
Pro detekci jakéhokoliv poškození nebo modifikace
informací vzniklého chybami při zpracování nebo
úmyslnými zásahy, by mělo být zváženo začlenění
kontroly platnosti dat.
A.12.2.3 Integrita zprávy Opatření
U jednotlivých aplikací by měly být stanoveny
bezpečnostní požadavky na zajištění autentizace a
integrity zpráv, dle potřeby určena, a zavedena vhodná
opatření.
A.12.2.4 Kontrola výstupních dat Opatření
Pro zajištění toho, že zpracování uložených informací je
bezchybné a odpovídající dané situaci, by mělo být
provedeno ověření platnosti výstupních dat.
A.12.3 Kryptografická opatření
Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.
A.12.3.1 Politika pro použití
kryptografických opatření
Opatření
Měla by být vytvořena a zavedena pravidla pro používání
kryptografických opatření na ochranu informací.
A.12.3.2 Správa klíčů Opatření
Na podporu používání kryptografických technik
v organizaci by měl existovat systém jejich správy.
A.12.4 Bezpečnost systémových souborů
Cíl: Zajistit bezpečnost systémových souborů
A.12.4.1 Správa provozního
programového vybavení
A.12.4.2 Ochrana systémových
testovacích údajů
A.12.4.3 Řízení přístupu ke knihovně
zdrojových kódů
Opatření
Měly by být zavedeny postupy kontroly instalace
programového vybavení na provozních systémech.
Opatření
Testovací data by měla být pečlivě vybrána, chráněna
a kontrolována.
Opatření
Přístup ke knihovně zdrojových kódů by měl být
omezen.
A.12.5 Bezpečnost procesů vývoje a podpory
Cíl: Udržovat bezpečnost programů a informací aplikačních systémů.
A.12.5.1 Postupy řízení změn Opatření
Měly by být zavedeny formální postupy řízení změn.
A.12.5.2 Technické přezkoumání
aplikací po změnách
operačního systému
Opatření
V případě změny operačního systému by měly být
přezkoumány a otestovány kritické aplikace, aby bylo
zajištěno, že změny nemají nepříznivý dopad na provoz
nebo bezpečnost organizace. A.12.5.3 Omezení změn
programových balíků
Opatření
Modifikace programových balíků by měly být omezeny
pouze na nezbytné změny, veškeré prováděné změny
musí být řízeny.
A.12.5.4 Únik informací Opatření
Mělo by být zabráněno úniku informací.
A.12.5.5 Programové vybavení
vyvíjené externím
dodavatelem
A.12.6 Řízení technických zranitelností
Opatření
Vývoj programového vybavení externím dodavatelem
by měl být organizací dohlížen a monitorován.
Cíl: Snížit rizika vyplývající ze zneužití veřejně publikovaných technických zranitelností.
A.12.6.1 Řízení, správa a kontrola
technických zranitelností
Opatření
Mělo by být zajištěno včasné získání informace o
existenci technické zranitelnosti v provozovaném
informačním systému, vyhodnocena úroveň ohrožení
organizace vůči této zranitelnosti a přijata příslušná
opatření na pokrytí souvisejících rizik.
a