"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

7.4.3.10. Задача "Эксплуатация и сопровождение ОО"

Задачи ИБ, которые должны быть выполнены командой DevSecOps: контроль состава, мест размещения и параметров настроек технических защитных мер, контроль выполнения правил эксплуатации технических защитных мер, включая правила обновления и управления, периодическая оценка защищенности ОО.

Состав контрольных мероприятий безопасности, выполняемых в рамках задачи "Эксплуатация и сопровождение ОО", приведен в таблице 8.

На данном этапе используются инструментальные средства для резервного копирования, мониторинга событий и уязвимостей.

Таблица 8 - Контрольные мероприятия безопасности, выполняемые в рамках задачи "Эксплуатация и сопровождение ОО"

Контрольные мероприятия безопасности

Подзадача жизненного цикла

Описание

Входные данные

Результат

Необходимые инструменты

Комментарий

Тестирование безопасности системы управления конфигурациями

Оценка защищенности ОО

Определение и верификация конфигураций ПО, влияющих на риски ИБ

Типовые конфигурации

Отчет о тестировании, отчет о сравнении конфигураций

Инструмент проверки соответствия требованиям безопасности

Тестирование происходит после развертывания

Тестирование на проникновение

Оценка защищенности ОО

Проведение периодического тестирования на проникновение охватывает все аспекты функционирования подсистем ОО

Развернутый ОО

Отчет о тестировании, найденные уязвимости

Инструментальные средства

Резервное копирование каждого выпуска ОО и всех его компонентов

Хранение всех файлов выпусков в репозитории

Контроль корректности резервного копирования хранилищ, репозиториев, баз знаний проекта/платформы

Доступ к системе резервных копий, компоненты ОО

Заархивированные копии компонентов ОО

Система управления резервным копированием

Мониторинг ОО на наличие уязвимостей

Сопровождение ОО

Осуществление ручного и автоматического анализа уязвимостей

Общеизвестные базы данных уязвимостей, списки рассылки безопасности, отчеты об уязвимостях

Отчет осуществления мониторинга

Инструментальные средства мониторинга

Периодический пересмотр, анализ и тестирование кода ОО для выявления ранее не обнаруженных уязвимостей

Оценка защищенности ОО

Проведение анализа и осуществление тестирования кода ОО

Развернутый ОО, исполняемый код, тестовые наборы входных данных, тестовые сценарии

Обновленные конфигурации настроек инструментов проведения контроля ИБ.

Отчеты о выявленных уязвимостях.

Скорректированная оценка векторов и актуальных атак

Инструментальные средства оценки защищенности

7.4.3.9. Задача "Подготовка и перенос ОО в промышленную эксплуатацию" 7.4.3.11. Задача "Вывод из эксплуатации ОО"