2. Рекомендация Коллегии Евразийской экономической комиссии от 19.09.2023 N 25 "О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем"

Доступ к системе

111. Средства контроля доступа пользователей (как физические, так и электронные), должны быть сконфигурированы и применены для запрещения несанкционированного доступа, изменения и удаления данных.

112. Для всех сотрудников, нуждающихся в доступе и использовании конкретной электронной системы, устанавливаются и присваиваются индивидуальные логины и пароли. Общие учетные данные для входа не позволяют проследить за лицом, которое выполнило действие. Общие пароли (даже если они оправданы по причинам финансовой экономии) должны быть запрещены.

113. В случае если система не включает в себя функции контроля доступа (например, если для нее не требуется пароль или если должна использоваться общая учетная запись пользователя), следует принять одну из следующих альтернативных мер контроля (эквивалентных между собой):

ведение журнала в бумажной форме, заполняемого вручную, обеспечивающего прослеживаемость обращений к системе;

установка в систему стороннего программного обеспечения, позволяющего обеспечить доступ к системе только предварительно авторизованным операторам.

Пригодность этих альтернативных мер контроля следует обосновать и задокументировать.

Авторизация пользователя

114. Следует в полной мере использовать механизмы контроля доступа для обеспечения того, чтобы сотрудники имели доступ только к функциям, соответствующим их служебной роли, и чтобы действия относились к конкретным лицам. Регулируемые компании должны быть в состоянии продемонстрировать уровни доступа, предоставленные отдельным сотрудникам, и обеспечить наличие ретроспективной информации об уровне доступа пользователей.

115. Контроль доступа должен применяться как при входе в операционную систему, так и запуске (работе) приложений. Индивидуальный вход в систему на уровне операционной системы может не потребоваться, если имеются соответствующие средства управления для обеспечения целостности данных (например, невозможно изменить, удалить или создать данные вне приложения).

116. Доступ администратора к компьютерным системам, используемым для запуска приложений, должен контролироваться. Обычные пользователи не должны иметь доступа к критически важным аспектам программного обеспечения, например, к системному времени, функциям удаления файлов и т.д. Права системного администратора (разрешающие такие действия, как удаление данных, изменение базы данных или изменение конфигурации системы) не предоставляются лицам, непосредственно заинтересованным в сохранении целостности данных (создание данных, просмотр или утверждение данных).

117. Схема авторизации пользователей должна обеспечивать разделение обязанностей.

Резервное копирование

118. Процессы резервного копирования и восстановления следует документировать с помощью процедуры, определяющей операции резервного копирования и шаги восстановления, которые выполняются в случае необходимости. Процессы резервного копирования и восстановления следует протестировать для обеспечения возможности полного восстановления данных и метаданных в случае сбоя системы. Следует создать механизм (автоматический или ручной) проверки резервного копирования для обеспечения его надлежащего функционирования.

119. Процессы резервного копирования и восстановления следует документировать (например, с помощью процедуры), валидировать. В отношении процессов резервного копирования следует проводить периодическую проверку. Каждая резервная копия должна проверяться для обеспечения ее правильного функционирования.

120. Обычные резервные копии (например, носители, на которых хранятся копии данных) следует хранить в удаленном месте (физически раздельно) на случай возникновения аварийной ситуации.

Проверка переноса данных

121. Перенос данных - это процесс передачи данных и метаданных между типами носителей или компьютеризированными системами. При необходимости перенос данных может изменять формат данных, для того чтобы сделать их пригодными для использования или видимыми в альтернативной компьютерной системе.

122. Процедуры переноса данных должны содержать соответствующее обоснование и быть тщательно разработаны и проверены для обеспечения целостности данных в течение жизненного цикла данных.