ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

     10.3 Планирование и приемка систем

10.3.1 Управление производительностью

Мера и средство контроля и управления

Использование ресурсов необходимо прогнозировать, исходя из будущих требований к производительности, настраивать и контролировать, чтобы обеспечить уверенность в достижении требуемых эксплуатационных данных системы.

Рекомендация по реализации

Для каждой новой и продолжающейся деятельности необходимо определять требования к производительности. Следует проводить настройку и контроль систем для обеспечения, где необходимо, уверенности в повышении доступности и эффективности систем. Необходимо применять выявляющие меры и средства контроля и управления, своевременно указывающие на проблемы. Прогнозирование требований к производительности должно учитывать новые требования бизнеса и новые системные требования, а также текущие и прогнозируемые тенденции в отношении возможностей обработки информации организации.

Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям следует осуществлять контроль использования ключевых системных ресурсов. Они должны определять тенденции в использовании, в частности, касающиеся прикладных программ для бизнеса или инструментальных средств информационных систем управления.

Руководителям следует использовать эту информацию с целью выявления потенциально узких мест и зависимости от ключевого персонала, который мог бы представлять угрозу безопасности систем или сервисов, и планирования соответствующего действия.

10.3.2 Приемка систем

Мера и средство контроля и управления

Должны быть определены критерии приемки для новых информационных систем, обновлений и новых версий, кроме того, необходимо тестировать системы в течение их разработки и перед их приемкой.

Рекомендация по реализации

Руководители должны обеспечить уверенность в том, что требования и критерии для принятия новых систем четко определены, согласованы, документально оформлены и протестированы. Новые информационные системы, обновления и новые версии должны вводиться в эксплуатацию только после прохождения официальной приемки. До официальной приемки необходимо рассмотреть следующие аспекты:

a) требования к мощности и производительности компьютера;

b) процедуры восстановления после сбоев и перезапуска, и планы действий в чрезвычайных ситуациях;

c) подготовка и тестирование типовых операционных процедур на соответствие установленным стандартам;

d) наличие согласованного набора меры и средства контроля и управления безопасности;

e) эффективные ручные процедуры;

f) мероприятия по обеспечению непрерывности бизнеса (см. 14.1);

g) документальное подтверждение того, что внедрение новой системы не будет неблагоприятно влиять на существующие системы, особенно, во время максимальных нагрузок, например в конце месяца;

h) документальное подтверждение того, что было учтено влияние, оказываемое новой системой, на общую безопасность организации;

i) тренинг в отношении эксплуатации и использования новых систем;

j) простота использования, поскольку это влияет на производительность работы пользователя и позволяет избегать ошибок оператора.

В отношении новых крупных разработок, службы поддержки и пользователи должны привлекаться для консультации на всех стадиях процесса разработки с целью эффективного проектирования системы. Соответствующие тесты должны проводиться для подтверждения того, что все критерии приемки удовлетворены полностью.

Дополнительная информация

Приемка может включать формальный процесс сертификации и аккредитации для подтверждения того, что требования к безопасности были учтены должным образом.