7.4.2.1. Условия для реализации безопасного жизненного цикла ОО

Условия для перехода к оценке соответствия требованиям безопасности процесса разработки ОО:

- ОО не должен использоваться в составе объектов критической информационной инфраструктуры (КИИ) <5>, которым присвоена категория значимости;

--------------------------------

<5> Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

- Разработчик должен иметь документированный процесс разработки, тестирования и эксплуатации <6>, включая описания реализуемых мер, контролей (security controls) и проверок по обеспечению информационной безопасности;

--------------------------------

<6> В случае если в качестве Разработчика выступает финансовая организация.

- Разработчик должен иметь документированный процесс управления версиями и изменениями программного обеспечения;

- инфраструктура Разработчика, на которой выполняются процессы разработки, тестирования и развертывания, а также среды постоянной эксплуатации финансовой организации, должна соответствовать требованиям ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" с учетом определенного уровня защиты информации для финансовой организации <7> и иметь соответствующее подтверждение оценки соответствия по ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия". При этом инфраструктурные системы (платформы) и решения по обеспечению информационной безопасности и соответствующие требования к ним должны быть документированы в достаточном виде для подтверждения и формирования автотестов и контрольных процедур (например, в рамках интеграционного тестирования с компонентами СОИБ, СМИБ).

--------------------------------

<7> В случае если в качестве Разработчика выступает финансовая организация.