"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

7.4.3.9. Задача "Подготовка и перенос ОО в промышленную эксплуатацию"

7.4.3.9. Задача "Подготовка и перенос ОО

в промышленную эксплуатацию"

Задачи ИБ, которые должны быть выполнены командой DevSecOps: контроль корректности версий и целостности ОО при передаче в среду промышленной эксплуатации, контроль выполнения ТДБ и ФТБ проектной и эксплуатационной документации.

Состав контрольных мероприятий безопасности, выполняемых в рамках задачи "Подготовка и перенос ОО в промышленную эксплуатацию", приведен в таблице 7.

На этапе подготовки и переноса в промышленную эксплуатацию компоненты ОО проверяются на целостность и источник происхождения компонентов ОО. При успешном прохождении проверки ОО компоненты с положительным результатом контроля ИБ передаются на хранение в репозиторий. Состав передаваемых на хранение компонентов ОО содержит в том числе: образы контейнеров, образы виртуальных машин, бинарные исполняемые файлы, результаты тестов, результаты сканирования безопасности, сценарии развертывания, сценарии управления конфигурациями, документацию на ОО.

Также в данной задаче осуществляются развертывание выпусков ОО, включая различные компоненты ОО, в промышленную эксплуатацию и контроль всех операций.

Таблица 7 - Контрольные мероприятия безопасности, выполняемые в рамках задачи "Подготовка и перенос ОО в промышленную эксплуатацию"

Контрольные мероприятия безопасности

Подзадача жизненного цикла

Описание

Входные данные

Результат

Необходимые инструменты

Комментарий

Проверка соответствия выполнения требований ИБ проектной и эксплуатационной документации

Принятие решения о выпуске ОО

Решение о выпуске компонентов ОО в хранилище компонентов для промышленной эксплуатации

Проектная документация, отчеты о тестировании, отчеты о проверке безопасности, компоненты ОО, заключение по контролям для принятия решений об изменении статуса кода/переносе в другую среду

Заключение о выпуске ОО

Система оркестрации непрерывной интеграции/непрерывной доставки

Компоненты ОО помечаются маркером финального выпуска, если принято положительное решение

Контроль корректности версий и целостности ОО

Доставка собранных компонентов ОО, получаемых в процессе разработки

Отправка собранных компонентов ОО в хранилище компонентов с обеспечением контроля корректности версий и целостности

Выпуск ОО

Новый выпуск в хранилище собранных компонентов

Система хранения собранных компонентов

Обеспечить защиту от несанкционированного доступа и нарушения целостности ресурса хранения контрольных сумм выпусков

7.4.3.8. Задача "Тестирование ОО" 7.4.3.10. Задача "Эксплуатация и сопровождение ОО"