11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
11.4.1. Quản lý các phần mềm điều hành
Biện pháp quản lý
Cần phải có các thủ tục sẵn sàng cho việc quản lý quá trình cài đặt các phần mềm trên hệ thống vận hành.
Hướng dẫn triển khai
Để giảm thiểu rủi ro do sửa đổi các hệ thống vận hành, các hướng dẫn sau đây cần được quan tâm trong việc quản lý các thay đổi:
hiện bởi những nhân viên quản trị đã được đào tạo theo quyền hạn quản lý phù hợp (xem 11.4.3);
b) các hệ thống vận hành chỉ được giữ mã thi hành đã được chấp nhận, và không được giữ mã phát triển hoặc các trình biên dịch;
c) các ứng dụng và phần mềm hệ thống điều hành chỉ được triển khai sau khi đã kiểm tra mở rộng và thành công; việc kiểm tra bao gồm các kiểm tra về tính tiện dụng, tính an toàn, các tác động lên các hệ thống khác và sự thân thiện với người dùng, và cần được thực hiện trên các hệ thống riêng biệt (xem thêm 9.1.4); cũng cần đảm bảo rằng tất cả các thư viện nguồn chương trình đều đã được cập nhật;
d) một hệ thống quản lý cấu hình cần được sử dụng để quản lý tất cả phần mềm đã được triển khai cũng như tài liệu hệ thống;
e) chiến lược hoàn trả cần được thực hiện trước khi triển khai các thay đổi;
f) nhật ký đánh giá cần được duy trì đối với mọi cập nhật về các thư viện chương trình điều hành; g) các phiên bản trước đây của phần mềm ứng dụng cần được giữ tại với vai trò là một biện pháp phòng ngừa bất trắc;
h) các phiên bản cũ của phần mềm cũng cần được lưu lại cùng với tất cả thông tin và tham số, các thủ tục, cấu hình chi tiết, và phần mềm hỗ trợ được yêu cầu miễn sao dữ liệu vẫn được lưu lại.
Phần mềm do nhà cung cấp hỗ trợ được sử dụng trong các hệ thống vận hành cần được duy trì tại một mức được hỗ trợ bởi nhà cung cấp đó. Qua thời gian, các nhà cung cấp phần mềm sẽ ngừng hỗ trợ các phiên bản phần mềm cũ. Tổ chức cần quan tâm tới các rủi ro do phải sử dụng phần mềm không được hỗ trợ.
Các quyết định nâng cấp lên phiên bản mới đều phải xem xét các yêu cầu nghiệp vụ đối với sự thay đổi đó, và tính an toàn của phiên bản, tức là phải quan tâm đến các tính năng an toàn mới hoặc số lượng và mức độ nghiêm trọng của các vấn đề an toàn ảnh hưởng đến phiên bản này. Các bản vá phần mềm cũng cần được áp dụng nếu chúng có thể giúp loại bỏ hoặc giảm các điểm yếu an toàn (xem thêm 11.6.1).
Truy cập vật lý và logic chỉ được cấp phép cho các nhà cung cấp với các mục đích hỗ trợ khi cần thiết, và phải được sự chấp thuận của ban quản lý. Các hoạt động của nhà cung cấp cần được giám sát.
Phần mềm máy tính có thể dựa trên modun và phần mềm được cung cấp từ bên ngoài, chúng cần được giám sát và quản lý để ngăn chặn các thay đổi trái phép gây ra các điểm yếu về an toàn thông tin.
Thông tin khác
Hệ điều hành chỉ được nâng cấp khi có yêu cầu, ví dụ, khi phiên bản hiện tại của hệ điều hành không thể tiếp tục hỗ trợ các yêu cầu nghiệp vụ. Không được thực hiện các nâng cấp chỉ vì đã có phiên bản mới của hệ điều hành. Các phiên bản mới của hệ điều hành phiên bản có thể kém an toàn, ít ổn định và ít được hiểu rõ hơn hệ thống hiện tại.