Нормативная документация -> ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ->

Приложение В

Приложение В
(обязательное)

Средства восстановления информационно-коммуникационных технологий после чрезвычайной ситуации

В.1 Общая информация

Провайдеры услуг по восстановлению ИКТ после ЧС должны удовлетворять основным требованиям, чтобы они могли обеспечивать безопасную физическую рабочую среду для содействия усилиям организации по восстановлению. В дополнение к охвату основных требований к физическим мощностям должны быть также рассмотрены требования к средствам контроля влияния внешней среды, телекоммуникациям, постоянному энергоснабжению и не относящимся к восстановлению удобствам, таким, как парковка и доступность питания и воды. Для провайдеров услуг со многими площадками для восстановления руководство должно в равной степени относиться к каждой и ко всем площадкам.

В.2 Местоположение площадок для восстановления

В.2.1 Общая информация

Местоположение площадок для восстановления может иметь нежелательные уязвимые места, вследствие которых на наилучшим образом спроектированной и оборудованной площадке для восстановления существуют остаточные риски, которые не могут быть уменьшены. Примеры таких потенциальных угроз описаны ниже.

В.2.2 Опасности природного характера

Площадки для восстановления не следует размещать в районах, подверженных опасностям природного характера, или следует оценить и уменьшить или же принять риски. Эти опасности природного характера включают (перечень может быть расширен):

a) вулканы и землетрясения;

b) тайфуны, ураганы и бури;

c) нахождение на низменных участках рядом с реками, подверженными разливу после дождя;

d) грозовые разряды.

В.2.3 Метеорологические изменения

Экстремальные и внезапные изменения внешней среды могут оказывать влияние на физические мощности и доступность площадок для восстановления. Площадки для восстановления следует выбирать на основе оценки степени и скорости метеорологических изменений и вероятного влияния на:

а) физические мощности (например, внезапное изменение температуры внешней среды может вызвать разрыв водопроводной трубы и затопление подвала);

b) доступность (например, сильные ливни могут оказывать влияние на значительные сегменты транспортной системы и ограничивать доступность площадок для восстановления).

В.2.4 Промышленные и коммерческие опасности

Площадки для восстановления не следует размещать вблизи мест с потенциальными промышленными или коммерческими опасностями, включая, например:

a) расположенные поблизости предприятия, обрабатывающие химические или взрывчатые вещества;

b) авиалинию прямо над площадкой для восстановления;

c) расположенные поблизости постоянно заполненные больницы, особенно те, которые имеют дело с определенными заболеваниями (такими, как пандемии, например, птичьего гриппа, атипичной пневмонии), с результирующим скоплением транспорта;

d) строения или участки, где осуществляется коммерческая деятельность, могущие стать объектом для общественных демонстраций или других угроз.

В.2.5 Доступность

Площадки для восстановления следует размещать в районах с хорошей доступностью. Должна быть возможность перемещения на площадки для восстановления персонала и оборудования организации без чрезмерной задержки. Доступность следует измерять:

a) надежными воздушными связями (от международных до местных аэропортов при необходимости);

b) качественным железнодорожным сообщением;

c) обширной дорожной сетью;

d) удобным сообщением от аэропортов и железнодорожных станций до площадок для восстановления;

е) удобным сообщением от гостиниц до площадок для восстановления;

f) простотой зарубежного или транснационального въезда при необходимости.

Основные площадки организации и площадки для восстановления должны размещаться как можно дальше друг от друга, однако с учетом того условия, что если от персонала организации потребуют реализации планов восстановления после ЧС на площадках для восстановления, то время восстановления должно быть выдержано.

В.2.6 Альтернативные маршруты

Необходимы альтернативные маршруты доступа к площадкам для восстановления, если на обычных маршрутах доступа к площадкам для восстановления возникают неожиданный затор, остановка или блокирование движения, а обходной доступ невозможен без чрезмерных трудностей для персонала и оборудования. Например, площадка для восстановления, доступ к которой возможен только через мост, может пострадать от физической изоляции, если мост будет поврежден. В таком случае необходим альтернативный маршрут доступа, обходящий мост.

В.2.7 Коллективно используемые помещения

Провайдерам услуг следует уделять особое внимание площадкам для восстановления, распложенным в коллективно используемых помещениях, из-за больших рисков нахождения в непосредственной близости других организаций и их персонала по сравнению с использованием специальных помещений для индивидуального использования. Провайдеры услуг должны обеспечить, чтобы:

a) формальные проверки оценки риска и уменьшения риска для коллективно используемых помещений проводились:
1) периодически, по крайней мере ежегодно;

2) когда происходят существенные изменения, связанные с коллективно используемыми помещениями (например, появление новых арендаторов и изменение назначения помещений существующими арендаторами);

b) подробности об остаточных рисках, которые не могут быть уменьшены, были предоставлены организациям для рассмотрения.

В.2.8 Коммунальные предприятия

Площадки для восстановления не следует размещать вблизи предприятий, предоставляющих коммунальные или иные услуги, так как площадки уязвимы к воздействиям, которые могут затрагивать операции. Такие коммунальные предприятия могут создавать вибрацию, помехи или стать объектом вредительства. Примеры таких предприятий:

a) электростанции;

b) сооружения связи бешенного типа;

c) подземные и наземные железнодорожные линии.

В.2.9 Кабельная инфраструктура

Телекоммуникационные и силовые кабели от поставщиков к площадкам для восстановления не должны быть чрезмерно подвержены риску внешнего физического повреждения. Например, кабельная система, подвешенная на столбах, по сравнению с подземной кабельной системой подвержена большему риску физического повреждения, которого следует избегать.

В.2.9.1 Уменьшение риска

Для площадок для восстановления, подвергающихся потенциальным рискам, которые нельзя устранить, должны существовать соответствующие процедуры уменьшения риска и должны быть предприняты усилия для минимизации этих рисков до соответствующего уровня. Пример таких потенциальных рисков — строительство нового предприятия по обработке опасных веществ поблизости.

В.3 Средства физического контроля доступа

В.3.1 Общая информация

Средства физического контроля доступа представляют собой ключевые элементы в обеспечении защиты площадок для восстановления, и крайне важно, чтобы такие средства контроля существовали и функционировали во всех точках входа и выхода зданий. После входа персонал организации должен иметь доступ ко всем выделенным ему помещениям, без навязывания дополнительного контроля доступа при перемещении персонала из одной части абонированных помещений для восстановления в другую (если только это не является абсолютно необходимым).

Поэтому провайдеры услуг должны обеспечить, чтобы были установлены, задокументированы и реализованы средства, политики и процедуры физического контроля доступа, соразмерные оцененным рискам и предоставляемым организациям услугам, для осуществления контроля и мониторинга физического доступа в помещения провайдера услуг, из них и внутри их.

В.3.2 Классификация кадровой безопасности

Должна быть установлена формальная система классификации кадровой безопасности, учитывающая следующие категории персонала:

a) персонал провайдера услуг;

b) служащие организации;

c) поставщики и подрядчики;

d) посетители.

В.3.3 Охраняемые зоны

В помещениях провайдера услуг должны быть идентифицированы и установлены отдельные зоны, имеющие физическую защиту, с:

a) мощностями с ограниченным доступом — зоны/помещения, вмещающие основное оборудование и мощности, такие, как серверы и другое компьютерное оборудование, коммутаторы связи и другое взаимосвязанное оборудование, а также кабельная система, архивы носителей данных, оборудование для кондиционирования воздуха и основные распределительные стойки для энергоснабжения;

b) общедоступными мощностями — зоны/помещения, используемые всем персоналом и не подвергающиеся каким-либо внутренним ограничениям, связанным с безопасностью, например, приемные, конференц-залы, кафетерии, туалеты.

Должна быть установлена формальная система контроля доступа персонала в каждую из охраняемых зон на основе классификации кадровой безопасности, которая должна действовать в течение всего времени проведения работ по восстановлению.

В.3.4 Персонал

Должны быть установлены формальные процедуры для рассмотрения вопроса, касающегося персонала присоединенного к провайдерам услуг или уходящего от провайдеров услуг. Они должны охватывать:

a) новый персонал, присоединенный к провайдеру услуг, — для определения применимого уровня санкционированного доступа и последующей выдачи соответствующих идентификационных карточек/нагрудных визиток для физического контроля доступа;

b) персонал, подлежащий увольнению, — для немедленного уведомления службы безопасности об увольнении членов персонала с отметкой всех соответствующих санкционирований доступа и возвратом идентификационных карточек/нагрудных визиток для физического контроля доступа.

В.3.5 Контроль доступа

Должны быть установлены формальные политики и процедуры для контроля входа в помещения провайдера услуг для обеспечения того, чтобы весь проход происходил в специальных точках входа и чтобы личность всех членов персонала, включая посетителей, проверялась при входе.

В.3.6 Лица, не относящиеся к персоналу

Должны быть установлены формальные политики и процедуры для контроля прохода и перемещения лиц, не относящихся к персоналу провайдера услуг, в помещениях провайдера услуг для обеспечения того, чтобы:

a) запросы на вход в помещения провайдера услуг и доступ к оборудованию были заранее определены и организованы, например, разрешение может быть получено посредством предшествующего электронного письма и беседы (если подающее запрос лицо хорошо известно соответствующему персоналу провайдера услуг, который подтверждает санкционирование занимающемуся обеспечением безопасности персоналу) или представления формальной подписанной формы санкционирования;

b) занимающийся обеспечением безопасности персонал на входе осуществлял встречную проверку с привлечением имеющего к этому отношение персонала провайдера услуг;

c) посетители всегда оставались в вестибюле или сопровождались в специальные, находящиеся под надзором помещения для ожидания, пока они не будут приняты персоналом провайдера услуг;

d) проход подрядчиков, расположенных на площадке, для заранее определенной цели и в определенный период времени был ограничен зонами/помещениями, которые необходимы для выполнения их конкретных санкционированных задач. Это относится к уборщикам, поставщикам провизии и другому привлеченному обслуживающему персоналу;

e) всех посетителей, направляющихся в зоны с ограниченным доступом, в течение всего времени сопровождал персонал провайдера услуг;

f) персонал поставщика, занятый работами по техническому обслуживанию в зонах с ограниченным доступом, находился под физическим надзором, для недопущения получения им доступа к системам вне сферы его деятельности (если физическому контролю препятствуют ограничения, связанные с ресурсами допустим также мониторинг с помощью замкнутой телевизионной системы);

g) идентификационные карточки выдавались воем посторонним лицам, проходящим в помещения провайдера услуг, включая постоянных подрядчиков, таких, как уборщики и работники кафетерия. В В.4.8 описано использование идентификационных карточек для контроля перемещения персонала в помещениях;

h) поддерживался журнал регистрации прохода посторонних лиц в помещения провайдера услуг, включая постоянных подрядчиков. В журнале регистрации фиксируют:

1) личность посторонних лиц, включая фамилию и название организации;

2) цель посещения;

3) посещаемых сотрудников провайдера услуг;

4) время входа/выхода;

5) замечания;

6) подпись сотрудника в журнале регистрации.

В.3.7 Персонал организации

Должны быть установлены формальные политики и процедуры для регулирования доступа персонала организации к помещениям провайдера услуг, охватывающие:

a) обычное время, когда уполномоченному персоналу организации разрешено посещение площадки для восстановления в заранее согласованное время, как предусмотрено в договоре провайдера услуг с организацией, например в период тестирования;

b) время ЧС/аварии, когда персоналу организации предоставлен постоянный доступ к выделенным зонам/помещениям для проведения операций по восстановлению.

В.3.8 Поведение персонала в охраняемых зонах с ограниченным доступом

Должны быть установлены формальные политики и (или) принципы, регулирующие поведение персонала в помещениях с ограниченным доступом, таких, как серверные, вычислительные центры и архивы носителей данных. Эти политики должны включать:

a) запрет курения;

b) запрет приема пищи и употребления напитков;

c) условия использования устройств, генерирующих радиочастоту, например мобильных телефонов, вблизи чувствительного оборудования;

d) условия использования устройств хранения данных и фотоаппаратуры, например персональных цифровых секретарей, универсальной последовательной шины (USB) накопителей и мобильных телефонов со встроенной фотокамерой.

В.3.9 Функции и роли по обеспечению безопасности

Провайдеры услуг должны установить обязанности соответствующего персонала по поддержанию безопасности.

Они должны охватывать:

a) назначение конкретного персонала на выполнение обязанностей, связанных с физической безопасностью персонала, например для целей распространения/предоставления информации в случае инцидента ИБ;

b) назначение компетентных заместителей для выполнения критических обязанностей в случае, когда основные назначенные лица недоступны или иным образом не способны выполнять работу;

c) адекватное обучение всего назначенного персонала, прежде чем ему будет поручено обеспечение безопасности;

d) периодическое посещение всем назначенным персоналом курсов повышения квалификации по обеспечению безопасности, чтобы гарантировать, что назначенный персонал остается компетентным в выполнении своих задач;

e) установление процедур тестирования персонала, которому поручено обеспечение безопасности, чтобы гарантировать поддержку его готовности и знаний. Тестирование следует проводить периодически, например раз в год. Оценка реагирования персонала во время тестирования должна соответствовать критериям оценки, приведенным в А.7.5.2 (приложение А).

В.3.10 Тестирование

Стратегия, цели, планы тестирования, само тестирование и результаты тестирования образуют неотъемлемую часть системы управления, поддерживающую ее целостность. Политики и процедуры, определяющие планирование, проведение, документирование, проверку и жизненный цикл тестирования приведены в В.15.4.

В.3.11 Инциденты (и слабые места) физической безопасности

Обо всех инцидентах (и слабых местах) физической безопасности должно быть немедленно сообщено соответствующему органу и должны быть приняты соответствующие меры. Об урегулировании инцидентов (и слабых мест) информационной безопасности (включая физические) см. в А.7.5 (приложение А).

В.3.12 Нерабочее время

Должны быть установлены политики и процедуры для регулирования доступа персонала к помещениям для восстановления во внерабочее время (например, доступ персонала во время праздников). Они должны включать:

a) процедуры санкционирования и уведомления;

b) порядок действий в чрезвычайных ситуациях, например во время восстановлении после бедствия, на рабочих местах организации.

В.3.13 Санкционирование

Санкционирование всего физического доступа к помещениям провайдера услуг и находящимся в них мощностям с ограниченным доступом необходимо:

a) предоставлять на основе принципов «необходимого знания» и «необходимого сдерживания»;

b) пересматривать и обновлять на периодической основе.

В.3.14 Обеспечение непрерывности

Все реализованные средства, политики и процедуры должны действовать 24 часа в сутки и 365 дней в году.

В.4 Физическая безопасность помещений

В.4.1 Общая информация

В соответствии с результатами оценки риска должны существовать физические средства контроля безопасности и процедуры для защиты электронных информационных систем, строений, мощностей и оборудования провайдера услуг и организации от несанкционированного физического доступа, изменения и повреждения. Таким образом, все помещения, предоставляемые организациям провайдерами услуг, должны быть физически защищены и подвергаемы мониторингу, прежде всего в целях безопасности и охраны здоровья персонала.

В.4.2 Концепция защиты

Должна быть установлена единая концепция защиты для интеграции всей физической защиты безопасности и процедур. Эта концепция защиты должна формировать основу всей физической зашиты безопасности и процедур, чтобы они могли объединяться и дополнять друг друга. Например, концепция защиты, базирующаяся только на высокой стене по периметру, будет неэффективна против других форм вторжения. Используемая концепция защиты должна быть основана на одном из следующих подходов:

a) многоуровневый — помещения делятся на уровни от внешнего периметра до внутреннего центра с соответствующим возрастанием накладываемых ограничений (например, требуется дополнительный допуск, отличающийся от разрешения для прохода через ворота, чтобы войти в серверную);

b) основанный на секторах — помещения делятся на отдельные секторы, например секторы А, Б, В и Г, и каждому сектору соответствуют разные критерии защиты доступа для ограничения прохождения из одного сектора в другой;

c) комбинированный — сочетание многоуровневого подхода и основанного на секторах: помещения делятся на отдельные секторы с возрастанием накладываемых ограничений от внешнего периметра до внутреннего центра для каждого сектора.

Концепция защиты должна реализовываться на основе надлежащего планирования, проектирования, сооружения и управления физическими помещениями.

В.4.3 Физическое строение

Физические строения, вмещающие площадки для восстановления, необходимо планировать, проектировать и строить с учетом обеспечения безопасности. В строениях, специально не предназначенных для этого (например, коллективно используемых помещениях), должны быть реализованы надлежащие средства контроля для уменьшения соответствующих рисков безопасности.

В.4.3.1 Внешние стороны

Периметры и внешние стороны всех строений с мощностями для восстановления должны быть физически защищены от вторжения и вандализма. Средства контроля безопасности должны включать:

a) прочную конструкцию внешних стен строений;

b) надлежащую защиту всех дверей и при необходимости окон от несанкционированного доступа, например, путем прочной конструкции и установки замков и сигнализации.

Кроме того, строения должны быть защищены от ударов молнии и наведенных скачков напряжения, которые могут повредить внутренность строения и (или) вызвать постоянную или временную неисправность размещенного в нем электрического и электронного оборудования. Примеры соответствующих средств контроля включают молниеотводы и устройства защиты от электрического перенапряжения для критически важного оборудования.

В.4.3.2 Внутренняя часть

Физические барьеры для помещений с ограниченным доступом внутри строений, например машинного зала, должны включать стены, простирающиеся от пола до потолка (т.е. плита к плите), для предотвращения несанкционированного прохода и загрязнения среды, например из-за дыма или огня. Если это невозможно, провайдеры услуг должны реализовать другие барьеры.

В.4.3.3 Инспектирование

Все строения с мощностями для восстановления необходимо периодически инспектировать, при этом инспектирование должно охватывать, как минимум:

a) все входы в помещения провайдера услуг и выходы из них;

b) зоны, непосредственно окружающие периметр помещений провайдера услуг;

c) заборы по периметру и (или) стены помещений провайдера услуг;

d) любые неиспользуемые боковые входы в строение (т.е. проверка того, что они всегда заперты);

e) грузовые лифты (т.е. проверка того, что они защищены посредством карточки доступа или других средств контроля безопасности, в том числе отключение во внерабочее время).

В.4.4 Физическое наблюдение за безопасностью

Должно быть установлено физическое наблюдение за безопасностью, чтобы осуществлять мониторинг перемещения персонала внутри и вокруг помещений провайдера услуг. Наблюдение за безопасностью должно быть установлено с использованием сочетания оборудования (такого, как замкнутая телевизионная система и детекторы движения) и охраны; оно должно действовать постоянно и быть полностью управляемым.

Должны быть разработаны процедуры для установки, технического обслуживания, ремонта и модернизации оборудования для физического наблюдения за безопасностью, чтобы гарантировать отсутствие упущений в обеспечении безопасности. Например, может быть поставлена охрана для наблюдения за затрагиваемыми площадками/помещениями во время этих мероприятий.

Персонал, отвечающий за физическое наблюдение за безопасностью, должен быть адекватным образом обучен и периодически подвергаться тестированию для проверки реагирования на физическое вторжение и нападение. Требования к обучению и взаимосвязанные критерии оценки приведены в А.9 (приложение А).

Физические зоны, которые должны находиться под наблюдением, должны по возможности включать:

a) все входы в помещения провайдера услуг и выходы из них;

b) все входы в помещения с ограниченным доступом, например в машинный зал и хранилище носителей данных, и выходы из них;

c) зоны, непосредственно окружающие периметр помещений провайдера услуг;

d) заборы по периметру и (или) стены помещений провайдера услуг;

e) зоны между заборами по периметру и (или) стенами и сооружениями в пределах помещений провайдера услуг.

Провайдеры услуг могут привлекать внешние ресурсы (внешних поставщиков) для обеспечения физического наблюдения за безопасностью, например обеспечения безопасности и мониторинга, но с учетом рекомендаций, представленных в А.6 (приложение А).

В.4.5 Системы обнаружения и сигнализации

В.4.5.1 Общая информация

Должны быть установлены системы физического обнаружения и сигнализации для обнаружения вторжений и нападений, а также, например, возгорания и затопления и обеспечения раннего предупреждения соответствующего персонала об их возникновении. Системы обнаружения и сигнализации должны соответствовать требованиям приведенных ниже пунктов.

В.4.5.2 Конструкция

Системы обнаружения и сигнализации должны быть реализованы путем использования одного из следующих подходов:

a) централизованного — все устройства обнаружения подключены к централизованному оборудованию, которое управляется 24 часа в сутки;

b) децентрализованного — все устройства обнаружения функционируют и управляются локально;

c) комбинированного — комбинация централизованного и децентрализованного подходов (например, использование централизованного оборудования для мониторинга сигналов тревоги в помещениях с ограниченным доступом и местного управления другой сигнализацией).

В идеале все сигнальные устройства должны быть также связаны с местными органами охраны правопорядка и пожарной службой.

В.4.5.3 Виды предупреждений

Системы обнаружения и сигнализации должны по возможности предупреждать по крайней мере о следующих угрозах:

a) задымление;

b) возгорание;

c) протечка воды;

d) вторжение.

В.4.5.4 Охватываемые помещения

Системами обнаружения и сигнализации должны быть охвачены зоны ограниченного доступа, на площадках/помещениях, вмещающих оборудование с ограниченным доступом, должны быть установлены соответствующие виды устройств обнаружения и сигнализации.

Помещения с ограниченным доступом должны включать:

a) серверные;

b) другие машинные залы;

c) помещения с архивами носителей данных;

d) помещения с оборудованием для контроля влияния внешней среды (вмещающие оборудование для кондиционирования);

e) помещения с основными коммутаторами связи;

f) помещения с системой бесперебойного питания;

g) аккумуляторные (если они не соединены с помещениями с системой бесперебойного питания);

h) помещения с силовым трансформатором или генераторной установкой;

i) помещение с главным распределительным щитом или для конференц-связи;

j) другие телекоммуникационные помещения (например, вмещающие распределительные коробки для проводки и штепсельных соединений).

В.4.6 Операции

Персонал провайдера услуг должен быть адекватным образом обучен и периодически проходить тестирование для проверки реагирования на предупреждения систем обнаружения и сигнализации. Критерии оценки реагирования персонала описаны в A.7.5.2, а информация об обучении, образовании и тестировании персонала приведена в А.9 (приложение А).

В.4.7 Хранилища

Провайдеры услуг должны быть способны предоставлять организациям безопасные хранилища и принадлежности для хранения их важнейших записей, магнитных носителей и ресурсов. Для обеспечения безопасных условий хранения необходимо соблюдать:

a) установленную формальную совокупность процедур для управления и обеспечения безопасности сбора, транспортировки, приема, маркировки, хранения и извлечения важнейших записей, магнитных носителей и ресурсов — в помещения организаций и из них, во внутренние и внешние хранилища и на площадки для восстановления. Например, отправляемые магнитные ленты важнейших записей можно хранить в защищенном шкафу в экспедиции перед сбором и доставкой организациям;

b) наличие соответствующих средств контроля влияния внешней среды, чтобы поддерживать целостность записей организации во время транспортировки и хранения;

c) для хранилищ, не расположенных на площадках для восстановления:

— критерии выбора мест для хранилищ должны быть такими же, как для выбора местоположения площадок для восстановления. Например, хранилища необходимо размешать вдали от мест с опасностями природного характера, к ним должны быть простой доступ и альтернативные маршруты доступа;

— хранилищам следует обеспечивать такой же уровень физического контроля доступа и защиты от влияния внешней среды, как для площадок для восстановления;

d) доступность на площадках для восстановления безопасных шкафов с возможностью запирания для хранения важнейших записей, магнитных носителей и ресурсов организации.

Провайдеры услуг могут привлекать внешние ресурсы (внешних поставщиков) для обеспечения хранилищ, но с учетом принципов, представленных в А.6 (приложение А).

В.4.8 Идентификационные карточки

Должна существовать определенная форма видимой идентификации по идентификационным карточкам в целях мониторинга и контроля перемещения персонала в помещениях провайдера услуг со следующими требованиями:

a) каждая идентификационная карточка должна уникальным образом идентифицировать данного человека;

b) идентификационные карточки должны быть такими, чтобы было затруднительно сделать их дубликаты или подделать их;

c) каждому человеку единовременно должна выдаваться только одна идентификационная карточка;

d) каждый человек должен отвечать за обеспечение безопасности и надлежащее использование выданной идентификационной карточки;

e) о потере идентификационной карточки следует немедленно сообщать;

f) при нахождении в помещениях провайдера услуг идентификационную карточку следует все время носить на видном месте;

g) идентификационные карточки персонала должны заметно отличаться от идентификационных карточек, выдаваемых посетителям;

h) идентификационные карточки, выдаваемые посетителям, должны быть возвращены, когда данные лица покидают помещения провайдера услуг;

i) идентификационные карточки должны быть возвращены в последний рабочий день членов персонала (это часть процедур обеспечения безопасности при завершении работы).

В.4.9 Ключи

Должно существовать централизованное управление всеми ключами (включая карты с магнитным кодом, смарт-карты и коды цифровой клавишной панели), дающими возможность физического доступа к строениям площадки для восстановления и зонам/помещениям, а также, например, к шкафам внутри них.

Менеджмент ключей должен определять следующие политики и процедуры:

a) обычный контроль за выдачей ключей персоналу, например выдача ключей новому персоналу и возврат ключей при увольнении;

b) особый контроль за выдачей ключей персоналу для важнейших помещений (например, выдача ключей для прохода в серверные должна строго ограничиваться только несколькими основными членами персонала);

c) хранение запасных ключей (например, в специально контролируемой коробке или шкафчике для ключей);

d) действия при потере ключей (например, обязательная замена соответствующих замков и выдача новых ключей).

В.4.10 Легковоспламеняющиеся материалы

Легковоспламеняющиеся материалы, такие, как топливо для зажигалок, недопустимо хранить в помещениях, вмещающих оборудование с ограниченным доступом.

В.4.11 Портативное оборудование

Портативное оборудование, такое, как ноутбуки, мобильные телефоны, персональные цифровые секретари, USB-накопители или другие портативные жесткие диски, нельзя приносить в зоны/помещения, вмещающие чувствительную аппаратуру, если только это портативное оборудование не находится под контролем уполномоченного персонала провайдера услуг и (или) организации. Вопрос о таком контроле может решаться в каждом конкретном случае.

В.4.12 Карты и справочники

Карты помещений, телефонные справочники и другие документы, которые могут вызвать ассоциацию или позволят идентифицировать помещения для обработки значимой информации, необходимо предоставлять только соответствующему уполномоченному персоналу.

В.4.13 Инспектирование поступающих и исходящих материалов

Все поступающие и исходящие материалы для помещений провайдера услуг необходимо инспектировать на предмет потенциальных опасностей и инцидентов безопасности.

В.4.14 Устранение носителей данных и документов

Провайдеры услуг должны предоставлять организациям на площадках для восстановления соответствующее оборудование и средства для устранения ненужных документов, носителей данных и других материалов. Примеры такого оборудования: бумагорезательные машины, которые могут обеспечивать надежное уничтожение ненужных распечаток; оборудование, обеспечивающее размагничивание магнитных лент; оборудование для измельчения (поперечной нарезки) компакт-дисков. Устранение следует производить таким образом, чтобы не могло быть сделано никаких выводов в отношении ранее хранившихся данных.

В.4.15 Обеспечение непрерывности

Все реализованные меры и процедуры физической безопасности должны действовать 24 часа в сутки и 365 дней в году.

В.4.16 Здоровье и безопасность персонала

Должны существовать процедуры для обеспечения соответствующего уровня безопасности и охраны здоровья персонала на площадках для восстановления. Это включает периодическое инспектирование надежности строения и пожаробезопасности, охватывающее такие сферы, как вентиляция, снижение возможности возгорания, незаблокированность маршрутов эвакуации и аварийное освещение.

В.5 Специально выделенные зоны

В.5.1 Общая информация

Должны быть приняты меры, чтобы оставить конкретные зоны/помещения в зданиях провайдера услуг для размещения оборудования организации и использования во время восстановления. Эти зоны/помещения нельзя использовать в иных целях в обычное время. Если зону/помещение используют в иных целях во время обычных операций, у провайдера услуг должен быть предусмотрен процесс немедленной трансформации/использования ее для целей, необходимых во время ЧС или аварии.

В.5.2 Территория для собраний

Провайдеры услуг должны предоставлять адекватные территории для собраний с системой громкой связи, чтобы дать возможность организациям собирать и инструктировать весь свой персонал, занятый восстановлением. Территории для собраний могут быть открытыми пространствами, залами или аудиториями, которые должны:

a) вместить ожидаемое большое количество членов персонала, занятого восстановлением, из различных групп по восстановлению;

b) быть действующими и удобными для персонала при любых погодных условиях;

c) отвечать требованиям конфиденциальности организаций, чтобы любой проводимый там инструктаж или беседу нельзя было подслушать в соседних помещениях.

В.5.3 Зоны (временного) хранения

Провайдеры услуг должны предоставить зоны (временного) хранения для погрузки, разгрузки и инспектирования компьютерного и взаимосвязанного оборудования организации.

Провайдеры услуг должны установить политики и процедуры для регулирования перемещения оборудования организации в зоны (временного) хранения, включая присутствие и надзор представителей организации и провайдера услуг при необходимости и процедуры для рассмотрения вопросов нарушений норм и исключительных ситуаций.

В.5.4 Наладочная зона

Провайдеры услуг должны предоставить наладочные зоны с адекватным энергоснабжением для тестирования компьютерного и взаимосвязанного оборудования. Энергоснабжение в наладочной зоне должно быть изолировано от энергоснабжения других частей помещений для восстановления, чтобы предотвратить влияние случайного отключения на энергоснабжение в других частях помещений для восстановления во время тестирования оборудования. Следует также уделить внимание изолированию сети в наладочной зоне, если там необходимо тестировать использование сети.

Провайдеры услуг должны установить политики и процедуры для регулирования перемещения и тестирования оборудования организации в наладочной зоне, включая присутствие и надзор представителей организации и провайдера услуг при необходимости и процедуры для рассмотрения вопросов нарушений норм и исключительных ситуаций.

В.5.5 Другие зоны

Провайдерами услуг должны быть приняты меры, чтобы дать возможность организациям размещать свое вычислительное и взаимосвязанное оборудование в защищенной среде, т. е. предотвращать несанкционированные физический доступ, изменение или удаление. Например, могут быть оставлены зоны/помещения для принтеров и факсов и защищенные шкафы для маршрутизаторов и модемов.

В.6 Средства контроля влияния внешней среды

В.6.1 Общая информация

Провайдеры услуг должны обеспечить существование политик и процедур для обеспечения защиты электронных информационных систем, оборудования и мощностей провайдера услуг и организаций от опасностей природного характера и (или) опасностей вредного воздействия внешней среды. Эти политики и процедуры должны охватывать разработку и предоставление организациям средств подходящей конструкции и принадлежностей для предотвращения ухудшения состояния носителей, используемых для хранения. Например, в помещении для хранения магнитных носителей данных необходимо средствами управления поддерживать надлежащие температуру и влажность.

В.6.2 Персонал и оборудование

Должны существовать процедуры для достижения соответствующего уровня качества внешней среды для оборудования и персонала на площадках для восстановления. Эти процедуры должны обеспечивать средства контроля влияния внешней среды для:

a) температуры;

b) вентиляции;

c) влажности;

d) вибрации и шума.

Должны быть также установлены процедуры для обеспечения соответствующего мониторинга и контроля напряженности электромагнитного поля по возможности.

В.6.3 Помещения

Провайдеры услуг должны обеспечить, чтобы средства контроля влияния внешней среды были предоставлены для следующих помещений:

a) серверные;

b) другие машинные залы;

c) с архивами носителей данных;

d) с оборудованием для контроля влияния внешней среды (вмещающие оборудование для кондиционирования);

e) с основными коммутаторами связи;

f) с системой бесперебойного электропитания;

g) аккумуляторные (если они не соединены с помещениями с системой бесперебойного электропитания);

h) с силовым трансформатором или генераторной установкой;

i) с главным распределительным щитом или для конференц-связи;

j) другие телекоммуникационные помещения (например, вмещающие распределительные коробки для проводки и штепсельных соединений).

В.6.4 Избыточность

Провайдеры услуг должны обеспечивать, чтобы все оборудование, обеспечивающее контроль влияния внешней среды, устанавливалось с дополнительной избыточностью, чтобы быть приспособленным к техническому обслуживанию и (или) сбою и предотвращать неблагоприятное влияние на уровни обслуживания. Например, должны быть установлены дополнительные агрегаты для кондиционирования воздуха в целях дублирования во время технического обслуживания основной системы кондиционирования воздуха.

В.7 Телекоммуникации

В.7.1 Общая информации

Телекоммуникации обеспечивают необходимую связь между площадками для восстановления и внешним миром. Всю информацию (голосовая, данные и, возможно, видео) необходимо передавать своевременным, эффективным и продуктивным образом, а вся передача с площадок для восстановления и на них должна осуществляться без нарушений или ухудшения качества и без перехвата информации.

Приведенные ниже рекомендации относятся к линиям связи от точки физического входа в помещения провайдера услуг до стоек физического оборудования. (Линии связи вне помещений провайдера услуг и находящиеся под контролем поставщиков телекоммуникационных услуг не рассматриваются в настоящем стандарте.)

В.7.2 Поставщики

У провайдеров услуг должны существовать процедуры и ресурсы для содействия организациям в обсуждении условий и привлечении любых поставщиков телекоммуникационных услуг для соответствия минимальным стандартам избыточности, надежности, безопасности и качества.

В.7.3 Отказ телекоммуникаций вследствие отказа одного элемента

Провайдеры услуг должны обеспечить, чтобы отказ телекоммуникаций вследствие отказа одного элемента был сведен к минимуму посредством наличия альтернативных источников телекоммуникаций, что позволит осуществлять переключение в случае аварии. Любой альтернативный источник должен быть независимой, иной и не находящейся в коллективном использовании совокупностью телекоммуникационного оборудования и линий связи на площадке для восстановления провайдера услуг. Таким образом, провайдеры услуг должны обеспечить, чтобы не происходило отказа системы вследствие отказа одного элемента для сетевого оборудования и линий связи, входящих/выходящих с их площадок, и чтобы существовали альтернативные сетевые соединения, позволяющие осуществлять переключение в случае аварии, что может быть достигнуто посредством:

a) сетевого разнообразия;

b) разнообразия провайдеров телекоммуникационных услуг, которое может быть достигнуто либо путем предоставления линии связи с другим провайдером сетевых услуг, либо путем демонстрирования способности подключения к другому узлу, зданию или помещению, где есть по крайней мере еще один провайдер сетевых услуг.

В.7.4 Защита

Провайдеры услуг должны обеспечить, чтобы вся телекоммуникационная кабельная система, поддерживающая информационные и (или) голосовые и видеоуслуги в их помещениях, была защищена от вмешательства, перехвата или повреждения, включая обеспечение этого посредством:

a) разделения силовых и телекоммуникационных кабелей для предотвращения помех и возможного повреждения;

b) отделения телекоммуникационной кабельной системы с волоконно-оптическими кабелями от других кабелей;

c) избегания прокладки кабелей через общедоступные помещения, чтобы минимизировать возможность прослушивания;

d) обеспечения кабельных каналов и (или) кабельных лотков с соответствующей прочностью материала, чтобы защитить проходящие внутри кабели от физического повреждения.

(См. также В.9.2.)

В.7.5 Связность и пропускная способность

Провайдеры услуг должны обеспечить наличие линий связи с достаточной пропускной способностью и связностью, чтобы дать возможность организациям осуществлять международную связь и связь с основными поставщиками информационных услуг и информационной поддержки без излишних ограничений и задержки передачи.

В.7.6 Мобильная связь

Провайдеры услуг должны обеспечить, чтобы при нахождении членов персонала организации в их помещениях они имели возможность связаться с внешними сторонами, находящимися вне данных помещений, используя свои мобильные телефоны в заранее предназначенных для этого местах. Например, провайдеры услуг могут заключить соглашения с поставщиками, предоставляющими телекоммуникационные услуги, или владельцами участков/строений, вмещающих площадки для восстановления, в целях улучшения приема мобильной связи. Могут быть также заключены аналогичные соглашения по использованию технологии беспроводной сети в помещениях провайдера услуг.

Провайдеры услуг должны также обеспечить разнообразие поставщиков услуг сотовой связи, чтобы не зависеть от единственного поставщика.

Все аспекты, касающиеся мобильной связи, должны быть предметом договорных соглашений между провайдерами услуг и организациями.

B.8 Энергоснабжение

В.8.1 Общая информация

Все вычислительное оборудование зависит от постоянного и стабильного источника электропитания для выполнения обычных операций, а прерывание или нарушение энергоснабжения может привести к потере важной информации или затруднению работ по восстановлению. Поэтому провайдеры услуг должны обеспечить введение политик и процедур, способствующих обеспечению постоянной доступности адекватной подачи электроэнергии.

Приведенные ниже принципы относятся к линиям энергоснабжения от точки физического входа в помещения провайдера услуг до стоек физического оборудования. (Линии энергоснабжения вне площадок провайдера услуг и находящиеся под контролем поставщиков электроэнергии не рассматриваются в настоящем стандарте.)

В.8.2 Поставщики электроэнергии

Провайдеры услуг должны обеспечить наличие процедур, гарантирующих, что электроснабжение, предоставляемое поставщиками, отвечает минимальным стандартам избыточности, надежности, безопасности и качества, включая процедуры мониторинга поступающего электроснабжения и разрешения нерешенных проблем с поставщиками, если таковые возникают.

В.8.3 Отказ энергоснабжения вследствие отказа одного элемента

Провайдеры услуг должны обеспечить, чтобы отказ энергоснабжения вследствие отказа одного элемента был сведен к минимуму благодаря наличию альтернативных источников электропитания, что позволит осуществлять переключение в случае сбоя, включая:

a) генераторы (см. В.8.5.2);

b) средства и оборудование для источников бесперебойного питания (см. В.8.5.3).

Кроме того, по возможности у провайдеров услуг должно быть поступающее на площадки для восстановления энергоснабжение от независимых, иных и не находящихся в коллективном использовании мощностей и линий энергоснабжения, например энергоснабжение от других подстанций.

В.8.4 Защита

Провайдеры услуг должны создать процедуры и установить необходимое оборудование, чтобы изолировать и обеспечить защиту всего работающего в их помещениях оборудования организаций и собственного оборудования от повреждения из-за увеличения и (или) скачков напряжения, грозовых разрядов или других непредвиденных обстоятельств. Виды нарушений энергоснабжения, от которых необходима защита, включают:

a) полный отказ («затемнение»);

b) резкое снижение напряжения («частичное затемнение»);

c) выбросы;

d) скачки напряжения.

Кроме того, адекватное внимание следует уделить потенциальным электрическим помехам и их влиянию на чувствительное оборудование.

В.8.5 Альтернативное энергоснабжение

В.8.5.1 Общая информация

Провайдеры услуг должны обеспечить наличие альтернативного энергоснабжения, которое может быть использовано на площадках для восстановления на временной основе (в случае нарушения обычного энергоснабжения) и способно удовлетворять все потребности организаций, связанные с восстановлением, пока не будет возобновлено нормальное энергоснабжение.

В.8.5.2 Генераторы

Провайдеры услуг должны предоставить и установить необходимое число генераторов, выполняющих роль резерва, используемого для предупреждения влияния серьезных нарушений энергоснабжения на операции по восстановлению. Приобретаемые генераторы должны удовлетворять требованиям мощности и минимальным стандартам безопасности, надежности и качества.

Генераторы мощности следует размещать там, где они не смогут помешать операциям на площадках для восстановления или не будут представлять никакую операционную опасность или нарушение безопасности (например, из-за зашумленности, воспламенения или взрыва).

Топливные баки генераторов должны быть размещены так, чтобы минимизировать риски (например, вредительства или возгорания), предпочтительно ниже уровня земли, с количеством хранимого топлива, поддерживаемым на таком уровне, чтобы сделать возможным доступность резервного энергоснабжения в течение периода, не меньше оговоренного времени выполнения поставки топлива, которое определено в договоре с поставщиком. Должны быть приняты меры для немедленного пополнения топлива после использования в случае ЧС или аварии. Качество топлива необходимо регулярно тестировать в компетентных лабораториях.

Генераторы мощности необходимо регулярно тестировать путем включения и использования, чтобы гарантировать поддержание резервного уровня готовности. Тестирование генераторов необходимо осуществлять в соответствии с процедурами и спецификациями производителей.

В.8.5.3 Источники бесперебойного литания

Провайдеры услуг должны приобретать, устанавливать и поддерживать необходимые блоки источников бесперебойного питания, чтобы дать возможность эксплуатировать и упорядоченным образом отключать критические для целевой задачи организации сети и вычислительное оборудование.

Для критических сетей и вычислительного оборудования, требующих высокой доступности, следует использовать источники бесперебойного питания класса VFI (без времени переключения), которые электроэнергию подают непрерывно.

Все источники бесперебойного питания должны проходить техническое обслуживание и регулярно тестироваться в соответствии с процедурами и спецификациями производителей, чтобы гарантировать операционную готовность источников бесперебойного питания к поддержке систем организации во время ЧС или аварии.

Поскольку все источники бесперебойного питания имеют внутренний потенциальный источник опасности, они должны быть отделены от критических сетей и вычислительного оборудования, требующих высокой доступности, или размещены на безопасном расстоянии от них.

Все аккумуляторные батареи, используемые в резервных блоках литания, должны проходить техническое обслуживание, тестироваться и (или) периодически заменяться, например, ежегодно в соответствии со спецификациями производителей.

В.8.5.4 Безопасное переключение

Провайдеры услуг должны установить процедуры и средства для обеспечения того, чтобы переключение с обычных источников электроэнергии на генераторы мощности во время нарушений энергоснабжения осуществлялось безопасным образом и не влияло на обычные операции. Процедуры и средства должны также обеспечивать безопасное переключение на обычные источники энергоснабжения при их восстановлении.

В.8.5.5 Уведомление о переключении

Провайдеры услуг должны обеспечить, чтобы любое переключение с обычного источника электроэнергии на альтернативный источник было обнаружено с последующим уведомлением соответствующею персонала для мониторинга и действий.

В.8.6 Аварийные автоматические выключатели

Если это требуется организациям, провайдеры услуг должны обеспечить установку аварийных автоматических выключателей в обозначенных организацией помещениях, где есть потенциальная опасность возгорания из-за тепла, выделяемого электрическими устройствами. Ситуации ЧС/аварии могут возникать, если подача электроэнергии будет способствовать интенсификации и (или) стимулированию распространения возгорания внутри соответствующих площадок/помещений. Аварийные автоматические выключатели должны быть:

a) установлены в зонах/помещениях с оборудованием, потребляющим большое количество электроэнергии (например, трехфазные электрические устройства);

b) установлены рядом с входными дверьми (либо внутри, либо снаружи) в зоны/помещения, полностью предназначенные для организации;

c) установлены вблизи обозначенных организацией индивидуальных участков для зон/помещений, коллективно используемых организациями;

d) защищены кожухами, предохраняющими от случайной активации;

e) способны вызывать отключение всего энергоснабжения, включая источники бесперебойного питания, в зонах/помещениях во время аварийной ситуации.

Инструкции по приведению в действие аварийных автоматических выключателей должны быть размещены на видном месте.

В.9 Менеджмент кабельной системы

В.9.1 Общая информация

Поскольку кабели необходимы для передачи электроэнергии, а также электронной информации, провайдеры услуг должны обеспечить принятие мер для их защиты от внешнего повреждения и вмешательства. Эти меры должны включать грамотное проектирование, тщательное размещение, создание и поддержку качественной документации (например, чертежей и методик) и техническое обслуживание установленной системы. При проектировании следует учитывать текущие и будущие запланированные мощности, простоту размещения и технического обслуживания.

В.9.2 Защита

Провайдеры услуг должны установить процедуры и средства для изолирования и обеспечения защиты всей кабельной системы, включая следующие:

a) телекоммуникационные и силовые кабели должны быть изолированы друг от друга, чтобы предотвратить помехи, например, путем использования отдельных шахтных стволов или применения соответствующего экранирования;

b) кабели, проходящие через зоны/помещения, которые посещаются публикой или не могут охраняться, должны быть защищены посредством, например, скрытого монтажа линий, кабельных каналов и (или) кабельных лотков с соответствующей прочностью материалов для защиты линий от физического повреждения, проводки линий в механически прочных и запираемых шахтах и запирания распределительных коробок;

c) кабели необходимо выбрать на основе требований к передаче и внешней среды. Например, свободные от растяжения кабели следует использовать для воздушных линий и при большой величине уклона (хотя использование воздушных кабелей не рекомендуется), сохраняющие функции кабели необходимо использовать в помещениях, подверженных тепловой опасности и опасности возгорания, экранированные кабели необходимо использовать для помещений с сильными электрическими и наведенными помехами, армированные кабели должны быть использованы в ситуациях, где достаточная механическая защита не может быть обеспечена никаким другим образом (например, при временном размещении на полу или стенах);

d) вся кабельная система, кабельные лотки и шахты необходимо периодически проверять на предмет повреждения, несанкционированной модификации, прослушивания или других сфер потенциального риска. Например, реконструкция или изменение использования площадки могут привести к тому, что экранированные кабели могут случайно подвергнуться внешнему воздействию.

(См. также В.7.4.)

В.9.3 Планы прокладки

Провайдеры услуг должны обеспечить поддержание точных и актуальных планов расположения всей кабельной системы. Такие планы обеспечивают полезную информацию для размещения, технического обслуживания, отыскания повреждений и ремонта кабельной системы, а также помогают идентифицировать места потенциальной опасности.

Индивидуальные подробные планы прокладки должны быть предусмотрены для каждой из следующих кабельных систем:

a) телекоммуникации/сети (данные);

b) телекоммуникации/сети (голос);

c) телекоммуникации/сети (данные/голос/видео, например сведение их в один поток);

d) энергоснабжение.

Провайдеры услуг должны также обеспечить создание и поддержку общих планов прокладки кабельной системы, содержащих следующие подробности:

a) физическая прокладка через различные части площадок для восстановления (например, местоположение любых кабельных лотков и межэтажных шахт);

b) общие виды кабелей (например, с разграничением силовых и телекоммуникационных кабелей);

c) маркировки при необходимости для идентификации использования конкретных кабелей (например, для групп сетевых пользователей).

В.10 Противопожарная защита

В.10.1 Общая информация

Провайдеры услуг должны обеспечить наличие соответствующих систем обнаружения и ликвидации пожара для защиты вычислительного оборудования и персонала, работающего на площадках для восстановления. Мощность этих систем должна быть пропорциональна размеру площадки/помещения и степени необходимой защиты.

Приведенные ниже пункты содержат необходимые рекомендации для систем обнаружения и ликвидации пожара и обеспечения безопасности персонала на площадках для восстановления.

В.10.2 Нормативное соответствие

Провайдеры услуг должны обеспечить соблюдение существующих предписаний и требований в отношении пожаробезопасности и техники безопасности, устанавливаемых инспекцией, осуществляющей строительный надзор, и (или) другими уполномоченными органами.

В.10.3 Служащий, отвечающий за противопожарную защиту

Провайдеры услуг должны обеспечить назначение конкретных членов персонала для осуществления надзора за соблюдением предписаний, касающихся пожаробезопасности и техники безопасности. Эти члены персонала могут быть служащими, отвечающими за противопожарную защиту, или другими лицами, прошедшими адекватное обучение правилам техники безопасности и пожаробезопасности. Должны быть также назначены заместители, которые должны быть достаточно компетентными для выполнения обязанностей ответственных лиц в случае, когда основные назначенные лица недоступны или иным образом неспособны выполнять работу.

В.10.4 Пожарные выходы

Провайдеры услуг должны обеспечить наличие пожарных выходов и проинформировать о них весь персонал.

Пожарные выходы должны:

a) быть ясно помечены знаками выхода, которые светятся, например, во время отключения электричества и во время пожара;

b) быть не загроможденными в любое время (например, объемные предметы нельзя размещать вдоль пожарных выходов, препятствуя или задерживая движение по проходам).

Несмотря на то что, по причинам безопасности двери пожарных выходов не должны открываться снаружи, они не должны быть заперты изнутри.

Весь персонал организации по прибытии на площадки для восстановления должен быть проинструктирован о пожарных выходах в ходе тестирования плана восстановления после ЧС или его активации в случае ЧС или аварии.

В.10.5 План реагирования на возгорание

Провайдеры услуг должны обеспечить, чтобы были установлены планы и процедуры для принятия мер при появлении возгорания и задымления, которые включают:

a) процедуры, которые должны быть приняты для различных ситуаций возгорания и задымления;

b) планы эвакуации людей, расположенных в различных частях площадок для восстановления;

c) помещения для инструктирования персонала;

d) подробности для уведомления аварийных служб;

e) цепочку связи и управления;

f) процедуры, регламентирующие исправление недостатков, обнаруженных при пожарных учениях, и требования к персоналу, не соблюдающему правила.

Необходимо проводить периодические эвакуационные учения на случай пожара для тестирования различных аспектов этих планов/процедур реагирования на возгорание/задымление.

Точки подачи воды для пожаротушения должны быть ясно помечены, чтобы они могли быть быстро обнаружены во время пожара, и, если этого требуют местные предписания, копии планов зданий с указанием точек подачи воды должны быть переданы на хранение местным аварийным службам.

В.10.6 Ручные огнетушители

Провайдеры услуг должны обеспечить, чтобы:

a) ручные огнетушители были размещены в зонах/помещениях, требующих защиты (например, в серверной и других машинных залах);

b) персонал и подрядчики, находящиеся на площадке по долгосрочным договорам, были проинструктированы по использованию ручных огнетушителей с демонстрацией и практическим применением при необходимости;

c) размещение ручных огнетушителей позволяло легко их достать, снять и активировать для использования во время пожара;

d) в помещениях, содержащих оборудование, которое будет повреждено в случае тушения возгорания водой, были использованы соответствующие виды огнетушителей, например углекислотные огнетушители;

e) огнетушители были хорошо видны или были бы указатели, где их можно найти;

f) условия хранения и эксплуатации огнетушителей отвечали требованиям спецификаций производителей и нормативной технической документации.

В.10.7 Безопасность персонала

Поскольку используемый в некоторых системах обнаружения и ликвидации возгорания подавляющий кислород/гасящий газ не только приводит к гашению пламени, но также может вызывать удушье у людей, провайдеры услуг должны серьезно подойти к рассмотрению применения систем, использующих газы, которые не вредны для здоровья, особенно для зон/помещений с большим количеством людей. Если системы, использующие не вредные для здоровья газы, установить невозможно, то персонал, работающий в зонах/помещениях, где установлены системы, использующие гасящий газ или газ, подавляющий кислород, должен быть подробно проинструктирован перед началом работы в таких зонах/помещениях о необходимости очень быстро покинуть помещение, когда система обнаружения и ликвидации возгорания активируется, и о пожарных выходах. Должны быть разработаны соответствующие предупреждающие плакаты, которые должны быть вывешены на видных местах.

В.11 Центр работы в чрезвычайных ситуациях

В.11.1 Общая информация

Провайдеры услуг должны предоставить на своих площадках для восстановления центры работы в чрезвычайных ситуациях, соответствующим образом оборудованные, чтобы дать возможность организациям осуществлять надзор и поддерживать связь со своими деловыми подразделениями и внешними сторонами во время ЧС или аварии. (В контексте настоящего стандарта приведенные ниже пункты не относятся к центрам работы в чрезвычайных ситуациях, создаваемых организациями на других площадках, не имеющих отношение к провайдеру услуг.)

В.11.2 Оборудование и принадлежности

Провайдеры услуг должны предоставить основное оборудование и принадлежности, чтобы дать возможность организациям привести в действие свои центры работы в чрезвычайных ситуациях, включая:

a) телекоммуникационное оборудование, например выделенные телефонные пинии, телефоны, факсы;

b) офисное оборудование, например персональные компьютеры, принтеры, бумагорезательные машины и фотокопировальные устройства;

c) канцелярские принадлежности (например, ручки, карандаши, маркеры, карманные фонари с запасными батарейками, ножницы, бумагу для печати).

В.11.3 Специализированные помещения

В.11.3.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы в центрах работы в чрезвычайных ситуациях имелись специализированные помещения и соответствующее оборудование с зонами/помещениями, удовлетворяющими требованиям, описанным в В.11.3.2 — В.11.3.4.

В.11.3.2 Помещение для связи

Провайдеры услуг должны обеспечить предоставление зон/помещений, способствующих проведению переговоров по телефону, которые должны быть:

a) оборудованы соответствующим числом выделенных телефонных линий (для входящих и исходящих звонков) для использования организацией;

b) оборудованы для приема внешних новостей (например, телевизорами для просмотра местных, и при необходимости национальных и зарубежных новостей);

c) свободны от шумовых помех от других источников (например, шума, создаваемого принтерами).

В.11.3.3 Зоны/помещения для собраний

Провайдеры услуг должны обеспечить предоставление зон/помещений для проведения собраний и обсуждений персоналом организации, которые должны быть:

a) достаточно большими, чтобы с удобством вмещать необходимое максимальное число членов персонала организации (например, руководителей групп по восстановлению);

b) оборудованы статусными табло для мониторинга и отслеживания продвижения восстановления (например, виртуальными досками и настенными презентационными планшетами);

c) соответствующим образом оборудованы для приема внешних новостей (например, телевизионной связью и телевизорами, если требуются телевизионные пресс-конференции).

В.11.3.4 Зоны/помещения для брифингов

Провайдеры услуг должны обеспечить предоставление зон/помещений для содействия общению с прессой и посторонними лицами, которые должны быть:

a) расположены в отдельных местах вдали от других помещений центра работы в чрезвычайных ситуациях, чтобы предотвратить несанкционированный доступ представителей прессы или посетителей к кадровой и конфиденциальной информации организации и площадкам для восстановления (например, находиться в другом месте за пределами основного периметра площадки для восстановления);

b) доступны только для приглашенных представителей прессы или посетителей, с контролем входа в зоны/помещения;

c) соответствующим образом оборудованы и обставлены для поддержки брифингов с представителями средств массовой информации (например, иметь достаточную площадь, чтобы вмещать ожидаемое количество представителей прессы, которые, вероятно, посетят связанные с ЧС/аварией брифинги).

В.11.4 Рабочее пространство для групп по восстановлению рабочей зоны

Провайдеры услуг должны обеспечить предоставление рабочего пространства для использования представителями различных групп по восстановлению, которое должно быть соответствующим образом оборудовано, чтобы поддерживать потребности организации (например, иметь телефонные линии, телефоны, факсы и соответствующие офисные принадлежности).

В.12 Помещения с ограниченным доступом

В.12.1 Общая информация

Провайдеры услуг должны обеспечить предоставление помещений, в которые разрешен только санкционированный доступ для предназначенных целей и которые имеют взаимосвязанные уровни защиты, включая:

a) серверные;

b) другие машинные залы;

c) помещения с архивами носителей данных;

d) помещения с оборудованием для контроля влияния внешней среды (вмещающие оборудование для кондиционирования);

е) помещения с основными коммутаторами связи;

f) помещения с системой бесперебойного электропитания;

g) аккумуляторные (если они не соединены с помещениями с системой бесперебойного электропитания);

h) помещения с силовым трансформатором или генераторной установкой;

i) помещение с главным распределительным щитом или для конференц-связи;

j) другие телекоммуникационные помещения (например, вмещающие распределительные коробки для проводки и штепсельных соединений).

В.12.2 Зоны/помещения, вмещающие основные компьютерные системы

В.12.2.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы зоны/помещения, вмещающие основное компьютерное оборудование, были спроектированы и построены таким образом, чтобы иметь дополнительный уровень безопасности по сравнению с обычными зонами/помещениями, и в соответствии с требованиями В.12.2.2 — В.12.2.5.

В.12.2.2 Физический доступ

Провайдеры услуг должны о6еспечить надежную конструкцию дверей, открывающих доступ к зонам/помещениям с оборудованием ограниченного доступа и оснащенных высококачественными механизмами контроля доступа и надежными замками, а также надежные окна, как минимум, цокольного и первого этажа, из небьющегося стекла и при необходимости оснащенные жалюзями.

Постоянный мониторинг доступа обязателен.

В.12.2.3 Потенциальные опасности

Провайдеры услуг должны обеспечить наличие адекватной изоляции, защиту, предотвращение и устранение потенциальных источников разрушения из зон/помещений, вмещающих оборудование с ограниченным доступом, с принятием следующих мер:

a) избегание трасс водопроводных или газовых труб и кабелей в зданиях как сверху, так и снизу (например, водопроводные трубы не должны проходить через серверные);

b) включение соответствующей защиты при проектировании этих помещений (например, фальшпол, средства, предотвращающие протечку воды, детекторы протечки воды/жидкостей с автоматическими электромагнитными клапанами, системы огнетушения, не наносящие ущерб чувствительному оборудованию при их активации).

Провайдеры услуг должны также обеспечить, чтобы адекватное внимание было уделено защите от потенциальных электромагнитных помех от расположенных поблизости передающих устройств сотовой связи, трехфазных генераторов, трансформаторов, линий высокого напряжения, например посредством использования экранирования или сохранения безопасного расстояния от источников электромагнитных помех.

В.12.2.4 Энергоснабжение

Провайдеры услуг должны обеспечить для каждой зоны/помещения, вмещающих оборудование с ограниченным доступом, отдельное энергоснабжение, отделенное и изолированное от энергоснабжения остального строения. При этом должны быть:

a) предусмотрены отдельные распределительные щиты и соответствующие автоматические выключатели для этих зон/помещений;

b) надлежащим образом закрыты распределительные щиты.

В.12.2.5 Электрические соединения

Провайдеры услуг должны обеспечить периодические проверки электрических соединений от распределительных щитов до критических мощностей и оборудования, поскольку плохой контакт в электрических соединениях может генерировать тепло и, следовательно, представляет потенциальную опасность (например, посредством проведения периодического инфракрасного сканирования распределительных щитов).

В.12.3 Кондиционирование воздуха

Провайдеры услуг должны обеспечить, чтобы:

a) в зонах/помещениях, вмещающих оборудование с ограниченным доступом, проводили измерения температуры и влажности, чтобы проверять, работают ли системы кондиционирования воздуха в режиме, которых требуется системам ИКТ и оборудованию, установленным в этих зонах/помещениях;

b) измерения проводились в разное время суток;

c) системы кондиционирования воздуха были:

1) способны поддерживать температуру и влажность помещения в пределах, требуемых системами ИКТ, находящимися в этих зонах/помещениях;

2) спроектированы таким образом, чтобы иметь возможность продолжать работу при поломке или техническом обслуживании отдельных блоков кондиционирования (например, посредством проектирования резервной мощности или дополнительных резервных блоков кондиционирования).

В.12.4 Возгорание и задымление

Тепло, дым и пары при возгорании могут представлять существенную угрозу для жизни людей и чувствительного оборудования. Поэтому провайдеры услуг должны обеспечить, чтобы не только существовала противопожарная защита, непосредственно предоставляемая для чувствительного к теплу вычислительного оборудования, но также было установлено достаточное число противопожарных перегородок для предупреждения теплового излучения и распространения огня, дыма и паров. Следует отметить, что для различных частей площадок для восстановления могут потребоваться отдельные зоны противопожарной и противодымной защиты.

В.12.5 Здоровье и безопасность персонала

В.12.5.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы здоровье и безопасность персонала были приоритетными по отношению ко всем политикам и процедурам защиты помещений и оборудования ИКТ.

В.12.5.2 Вентиляция

Провайдеры услуг должны обеспечить вентилирование зон/помещений с постоянным нахождением персонала для обеспечения достаточного уровня свежего воздуха находящимся там людям, например с подсчетом воздухообмена в час в данной зоне/помещении на основе тепла, вырабатываемого оборудованием в помещении, и требуемого охлаждения.

В.12.5.3 Освещение

Провайдеры услуг должны обеспечить адекватное освещение для безопасных операций, осуществляемых персоналом в зонах/помещениях, вмещающих оборудование с ограниченным доступом, включая аварийное освещение, предназначенное для использования во время ЧС, например, если энергоснабжение отключено во время пожара.

В.12.5.4 Противопожарная система

Используемый в некоторых системах обнаружения и ликвидации возгорания подавляющий кислород гасящий газ может представлять опасность для людей. Более подробно изложено в В.10.7.

В.12.5.5 Управляемые электричеством двери

Провайдеры услуг должны обеспечить, чтобы зоны/помещения, в которых двери запираются электричеством для контроля доступа персонала, могли быть открыты изнутри во время нарушения энергоснабжения или пожара в целях безопасного выхода персонала из этих зон/помещений. Например, изнутри должно быть ручное отключение электрического запирания дверей во время нарушения энергоснабжения или пожара, или двери должны быть сконструированы таким образом, чтобы оставаться открытыми во время таких ситуаций.

В.12.5.6 Система общественного оповещения

Провайдеры услуг должны обеспечить установку систем общественного оповещения или эквивалентных систем на площадках для восстановления, а также их регулярное тестирование. Это позволит делать голосовые объявления для всего персонала на площадке для восстановления. Например, при пожаре на площадке для восстановления система общественного оповещения может быть использована для оповещения персонала о необходимости покинуть площадку.

В.12.6 Системы сигнализации

Провайдеры услуг должны обеспечить установку соответствующих устройств обнаружения и сигнализации, которые предупреждают, как минимум, о задымлении, возгорании, протечке воды/жидкостей, физических вторжениях и могут быть слышны внутри и вне рассматриваемых зон/помещений.

В.12.7 Общие соображения относительно размещения

Провайдеры услуг должны обеспечить, чтобы зоны/помещения, вмещающие оборудование с ограниченным доступом, не имели никакой маркировки, касающейся их использования, чтобы способствовать защите конфиденциальности и усилению безопасности, например табличек с названиями организаций не должно быть на дверях абонируемых организациями помещений. Кроме того, зоны/помещения, вмещающие оборудование с ограниченным доступом, должны отвечать следующим требованиям:

a) размещение вдали от помещений общего доступа, таких, как приемные и туалеты, и наличие средств предупреждения доступа неуполномоченных лиц;

b) малозаметность извне периметра здания, что может быть достигнуто, например, посредством экранирования всех окон или отсутствием окон вообще;

c) наличие соответствующей защиты, такой, как предотвращающая протечку воды, детекторы протечки воды с автоматическими электромагнитными клапанами и система огнетушения, не наносящая ущерба оборудованию при ее активации;

d) использование стекла особой марки, которое нелегко разбить, либо оснащение системой обнаружения разбивания стекла, если эти зоны/помещения имеют стеклянные стены или окна, которые доступны извне здания;

e) максимально допустимая нагрузка для всех поддерживающих структур, особенно фальшполов и пандусов, должна быть спланирована с учетом соображений текущей и потенциальной будущей нагрузки;

f) размещение оборудования с учетом циркуляции горячего и холодного воздуха, чтобы исключить чрезмерную концентрацию тепла в определенных частях зон/помещений;

g) проект должен учитывать как текущие, так и будущие требования, например, с адекватным энергоснабжением и мощностями системы кондиционирования, покрывающими текущее и проектируемое будущее потребление.

В.12.8 Подлежащие исключению зоны

Провайдеры услуг должны обеспечить, чтобы зоны/помещения, вмещающие оборудование с ограниченным доступом, не размещались в перечисленных ниже местах, если присутствует любая из взаимосвязанных опасностей:

a) в подвальных помещениях, если они подвержены риску разрыва труб, протечки воды или затопления;

b) в помещениях, расположенных непосредственно под плоской крышей, если есть риск протечки во время дождя;

c) в помещениях цокольного этажа, если они развернуты в сторону зон общественного движения и подвержены риску атак, вандализма и форс-мажорных обстоятельств из-за дорожно-транспортных происшествий вблизи здания;

d) в помещениях, находящихся в непосредственной близости с другими зонами/помещениями (рядом этажом выше или ниже), которые используют для обработки или хранения опасных веществ, таких, как легковоспламеняющиеся материалы, химические или взрывчатые вещества.

В.13 Не относящиеся к восстановлению удобства

В.13.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы в дополнение к предоставлению помещений и оборудования, делающих возможным фактическое восстановление, обеспечивались удобства, ориентированные на здоровье и благополучие персонала организации, размешенного в их помещение, во время восстановления.

B.13.2 Персонал

Провайдеры услуг должны обеспечить предоставление адекватных основных удобств, ориентированных на персонал организации, работающий в их помещениях во время восстановления, включая:

a) зоны отдыха;

b) туалеты;

c) питьевую воду;

d) трехразовое питание каждый день (с учетом договорных соглашений с организациями).

В.13.3 Автостоянка

В тех случаях, когда позволяют обстоятельства, провайдеры услуг должны обеспечить доступность для персонала организации, работающего в помещениях провайдера услуг во время восстановления, адекватных мест для стоянки автомобилей, а также при единоличном использовании помещений провайдером услуг — мониторинг и контроль этих мест для стоянки 24 часа в сутки и 365 дней в году.

В.13.4 Перевозка

Провайдеры услуг должны обеспечить доступность их площадок для восстановления персоналу организации 24 часа в сутки и 365 дней в году, например, посредством размещения площадок для восстановления вблизи остановок общественного транспорта и (или) — с учетом договорных соглашений с организациями — предоставления заказного транспорта, доставляющего персонал организации от выбранных остановок общественною транспорта до площадки для восстановлении и обратно.

В.13.5 Лечение

Провайдеры услуг должны обеспечить возможность принятия мер для оказания первичной доврачебной помощи персоналу организации, который может работать с огромной рабочей и временной нагрузкой на площадках для восстановления во время восстановительных работ, например, посредством наличия в помещениях медицинских аптечек.

В.14 Жизненный цикл физических мощностей и вспомогательного оборудования

В.14.1 Общая информация

Посредством менеджмента жизненного цикла мощностей/оборудования провайдеры услуг должны обеспечить постоянное соответствие всех физических мощностей и вспомогательного оборудования предназначенным целям, чтобы гарантировать доступность для организаций абонированных услуг.

Провайдеры услуг должны учредить надлежащие программы по обслуживанию и уходу, охватывающие срок службы каждого элемента используемых мощностей и оборудования, жизненный цикл которых включает создание, установку, введение в строй, эксплуатацию, ремонт, техническое обслуживание, модернизацию и при необходимости замену физических мощностей и оборудования.

В.14.2 Политики и процедуры

Провайдеры услуг должны обеспечить установление политик и процедур для физических мощностей и оборудования, охватывающих установку, введение в строй, эксплуатацию, ремонт, техническое обслуживание, модернизацию и замену (например, политику, определяющую, что должны быть предприняты все попытки для ремонта оборудования на месте, прежде чем перевозить его на площадку поставщика).

В.14.3 Соответствие требованиям

Провайдеры услуг должны обеспечить полное соответствие всех физических мощностей и вспомогательного оборудования текущим рекомендациям производителей оборудования, профессиональным стандартам (практическим приемам) и (или) нормативным требованиям.

В.14.4 Квалифицированные специалисты

Провайдеры услуг должны обеспечить эксплуатацию всех физических мощностей и вспомогательного оборудования квалифицированными специалистами, например, чтобы монтаж и ввод в строй электроустановки высокого напряжения осуществляли квалифицированные инженеры-специалисты.

В.14.5 Ситуации, связанные с обслуживанием

Провайдеры услуг должны обеспечить установление политик и процедур для регулирования приведенных ниже ситуаций во время ремонта, технического обслуживания, модернизации и замены физических мощностей и оборудования:

a) на месте — поскольку во время технического обслуживания поставщиками может быть использовано дополнительное оборудование, должны быть приняты меры для обеспечения того, чтобы дополнительное оборудование не оказывало влияния на безопасность и работу оборудования и мощностей для восстановления. Во время технического обслуживания должно быть предпринято надлежащее изолирование оборудования, например с наличием соответствующих процедур для замены неисправного оборудования и установки нового оборудования;

b) вне места эксплуатации — хотя здесь существуют вопросы, сходные с техническим обслуживанием на месте, вследствие затруднений с непосредственным надзором за поставщиком должны быть приняты дополнительные меры. Например, если неисправный элемент оборудования должен быть возвращен на площадку поставщика для тщательного изучения, перед вводом отремонтированного элемента оборудования повторно в эксплуатацию должны быть предприняты дополнительные проверки и тестирование безопасности и функциональных возможностей;

c) недоступность — поскольку оборудование может быть недоступно во время технического обслуживания, должны быть предприняты соответствующие меры для обеспечения того, чтобы предлагаемые организациям услуги сохранить в полном объеме и ситуация оставалась бы под контролем в течение этого периода, например, посредством активации резервного или альтернативного запасного оборудования перед проведением технического обслуживания оборудования;

d) повторное подключение — оборудование, которое должно быть повторно введено в эксплуатацию после ремонта, технического обслуживания, модернизации или замены, должно быть проверено и протестировано, чтобы гарантировать, что оно установлено на правильный режим функционирования и интегрировано с соответствующими системами. Например, замененный датчик охранной сигнализации, подключенный к основной системе физической безопасности, должен быть вновь протестирован на связность.

В.14.6 Проверки

В.14.6.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы:

a) были установлены процедуры периодических аудиторских проверок каждого элемента физических мощностей и оборудования в их помещениях как часть аудитов физических мощностей и оборудования;

b) был назначен персонал (внутренний или внешний) с соответствующей квалификацией, обладающий полномочиями и обязанностями по проведению аудиторских проверок физических мощностей и оборудования.

В.14.6.2 Отчеты проверок

Провайдеры услуг должны обеспечить, чтобы после каждой проверки формировались отчеты, формат которых включает:

a) область применения и цели;

b) последовательность действий и процедуры;

c) выводы и результаты;

d) корректирующие меры, которые должны быть приняты;

e) отклонения и подкрепляющее логическое обоснование для дальнейшей проверки и действий.

В.14.6.3 Область применения

Провайдеры услуг должны обеспечить, чтобы проверки охватывали:

a) физическую защиту периметра и помещений площадки для восстановления;

b) оборудование физической защиты;

c) оборудование для контроля влияния внешней среды;

d) оборудование и средства ИКТ;

e) оборудование и сродства телекоммуникаций;

f) энергоснабжение;

g) противопожарную и противодымную защиту;

h) защиту от протечек воды/жидкостей.

В.14.6.4 Инициирующие условия

Провайдеры услуг должны обеспечить осуществление проверок физических мощностей и оборудования в случаях, когда происходят существенные изменения требований организации. Например, когда организация добавляет дополнительные элементы оборудования с большим потреблением электроэнергии, должна быть пересмотрена мощность существующего энергоснабжения, источников бесперебойного питания и генераторов.

В.14.7 Списание

Провайдеры услуг должны обеспечить списание и (или) устранение всех физических мощностей и оборудования, выработавшего свой ресурс, персоналом, имеющим соответствующую квалификацию, в соответствии с текущими рекомендациями производителей оборудования, профессиональными стандартами (практическими приемами) и (или) нормативными требованиями.

В.14.8 Запасные части и аксессуары

Провайдеры услуг должны обеспечить наличие и доступность адекватных запасных частей и аксессуаров в целях возможного проведения необходимого ремонта, технического обслуживания и замены физических мощностей и оборудования таким образом, чтобы нарушение обычных операций было сведено к минимуму. Объем и виды запасных частей и аксессуаров, которые должны быть в распоряжении, должны отражать время простоя, фигурирующее в соглашениях об уровне сервиса провайдеров услуг с организациями, и способность поставщиков осуществлять поставку и ремонт неисправного оборудования в оговоренный интервал времени.

В.14.9 Инвентаризационная опись

Провайдеры услуг должны обеспечить поддержку актуальных инвентаризационных описей элементов своих физических мощностей и оборудования.

В.14.10 Постоянный мониторинг

Провайдеры услуг должны обеспечить постоянный мониторинг критических элементов физических мощностей и оборудования, чтобы гарантировать их доступность. Например, мониторинг системы бесперебойного питания для основной вычислительной системы осуществляют из сетевого операционного центра, к которому она подключена.

В.14.11 Программные и программно-аппаратные средства

Провайдеры услуг должны обеспечить, чтобы политики и процедуры, относящиеся к работе физических мощностей и оборудования, были при необходимости в равной степени применимы к взаимосвязанным программно-аппаратным и программным средствам, встроенным или составляющим часть работы оборудования или мощностей.

В.15 Тестирование

В.15.1 Общая информация

Провайдеры услуг должны обеспечить, чтобы тестирование составляло неотъемлемую часть поддержания физических мощностей и оборудования в необходимом высококачественном состоянии для поддержки услуг, предлагаемых организациям.

В.15.2 Область применения

Провайдеры услуг должны обеспечить, чтобы физические мощности и оборудование, включая перечисленные в В.14.6.3, периодически проверяли и (или) тестировали.

В.15.3 Персонал

Провайдеры услуг должны обеспечивать тестирование персонала, управляющего их физическими мощностями и оборудованием для восстановления, а также их операционных процедур (в идеальном случае — в сочетании с тестированием физических мощностей и оборудования).

В.15.4 Жизненный цикл тестирования

Провайдеры услуг должны обеспечить, чтобы при планировании, проведении, документировании и проверке тестирования учитывали:

a) тестирование, проводимое по крайней мере ежегодно для критически важных мощностей и оборудования, влияющих на предоставляемые организациям услуги;

b) тестирование, проводимое, когда возникают какие-либо существенные изменения требований организации и (или) изменения мощностей и возможностей провайдера услуг, влияющих на предоставляемые организациям услуги, например модернизация физических мощностей, оборудования, телекоммуникаций и источников энергоснабжения;

c) тестирование, объявленное и необъявленное, надлежащим образом разработанное и спланированное, чтобы не причинять никакого ущерба, либо носящее постоянный характер, либо применяемое при наличии затруднений;

d) меры, принимаемые для обеспечения того, чтобы во время тестирования ситуация оставалась под контролем;

e) критическое тестирование, утвержденное и санкционированное руководством провайдера услуг;

f) в случае критического тестирования информирование руководства провайдера услуг и организации до начала каждого тестирования;

g) процесс тестирования, цели тестирования, планы тестирования и результаты тестирования, задокументированные для последующей проверки или аудита на предмет эффективности;

h) обнаруженные во время тестирования недостатки, исправляемые как можно раньше и не позднее следующего тестирования;

i) перечень (неисправленных) недостатков, доведенный до руководства провайдера услуг с изложением потенциальных последствий каждого представленного несовершенного действия;

j) временной график, обеспечивающий проведение всех возможных видов тестирования в определенный момент (например, различные виды тестирования должны проводиться по крайней мере каждые пять лет);

k) тестирование, отличающееся в каждом году, по возможности в целях внесения разнообразия и непредсказуемости для участников. Например, тестирование, проводимое в этом году, не должно быть точно таким же, как тестирование, проведенное в прошлом году.

 

Далее >>>