7.4.3.1. Описание процесса безопасного жизненного цикла ОО. Определение методологии и практик процесса безопасного жизненного цикла ОО
7.4.3.1. Описание процесса безопасного жизненного цикла
ОО. Определение методологии и практик процесса безопасного
жизненного цикла ОО
Под методологией безопасного жизненного цикла ОО в настоящем документе понимается соблюдение совокупности принципов, правил, мер, требований, а также последовательности выполнения мероприятий жизненного цикла для целей предотвращения появления и устранения уязвимостей в ОО, поддержания доверия к ОО на всем протяжении жизненного цикла ОО и обеспечения необходимого и достаточного уровня безопасности ОО.
В зависимости от выбора методологии функционирования конкретных установленных Разработчиком процессов работы команды безопасного жизненного цикла ОО возможно параллельное и одновременное выполнение ряда мероприятий, включая контрольные, и этапов жизненного цикла ОО, в связи с чем по тексту настоящего раздела вместо термина "этап" жизненного цикла будет использован термин "задача".
В состав задач безопасного жизненного цикла ОО входят:
- Задача "Организационная подготовка" - в данной задаче определяются требования по подготовке и организации процесса безопасного жизненного цикла ОО, а также требования к организационной модели команды, ролевому составу, ответственности, компетенции и обучению;
- Задача "Формирование требований к ОО" - в данной задаче формулируются функциональные и нефункциональные требования к разрабатываемому ОО, включая требования к обеспечению информационной безопасности ОО;
- Задача "Архитектура и проектирование ОО" - в данной задаче разрабатываются архитектурное решение и проектное описание ОО;
- Задача "Реализация (разработка) ОО" - в данной задаче осуществляются непосредственное кодирование и процесс реализации ОО;
- Задача "Тестирование ОО" - в данной задаче проводится проверка реализации ОО и качества его исполнения на соответствие функциональным и нефункциональным требованиям, включая требования к обеспечению информационной безопасности ОО;
- Задача "Подготовка и перенос ОО в промышленную эксплуатацию" - в данной задаче требуется проверить на готовность ОО к выполнению требований ИБ и переносу в промышленную эксплуатацию, корректно перенести версию ОО в среду эксплуатации;
- Задача "Эксплуатация и сопровождение ОО" - в данной задаче реализуются мониторинг, обновление, сопровождение и сопутствующая эксплуатация ОО;
- Задача "Вывод из эксплуатации ОО" - в данной задаче производится снятие с эксплуатации ОО.
Ориентировочный процесс безопасного жизненного цикла ОО приведен на схемах в приложении В к настоящему ПЗ.
Взаимосвязь задач безопасного жизненного цикла ОО с шагами ориентировочного процесса безопасного жизненного цикла ОО приведена в таблице 1.
Таблица 1. Связь задач безопасного жизненного цикла ОО
и шагов процесса
Шаг процесса (Приложение В) |
|
Задача "Организационная подготовка" |
- Потребности, бизнес-требования - Старт спринта, планирование задачи |
Задача "Формирование требований к ОО" |
- Разработка требований ИБ |
Задача "Архитектура и проектирование ОО" |
|
Задача "Реализация (разработка) ОО" |
- Разработка кода, неиспользование кода - Тест-кейсы, требования к развертыванию и внедрению |
Задача "Тестирование ОО" |
- Статический анализ кода - Динамический анализ кода - Security Review - Фаззинг-тестирование - Тестирование на проникновение - Функциональное тестирование - Демо спринта, ретроспектива |
Задача "Подготовка и перенос ОО в промышленную эксплуатацию" |
- Приемка - Эксплуатация и поддержка эксплуатации <10> |
Задача "Эксплуатация и сопровождение ОО" |
|
Задача "Вывод из эксплуатации ОО" |
- Архивирование информации, содержащейся в ОО <11> - Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации <12> |
--------------------------------
<10> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.
<11> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.
<12> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.
Разработчик должен документировать процесс безопасного жизненного цикла ОО и предусмотреть выделение ресурсов, необходимых для реализации мер по поддержанию безопасного жизненного цикла ОО.
Разработчик должен проводить внутренние проверки выполнения мер по обеспечению безопасности жизненного цикла ОО, позволяющие установить, что реализуемые меры соответствуют требованиям настоящего Профиля защиты (ПЗ).
Разработчик должен на постоянной основе осуществлять совершенствование процессов, связанных с обеспечением безопасного жизненного цикла ОО, на основе:
- несоответствий, выявленных в ходе внутренних проверок;
- изменения рисков нарушения информационной безопасности как во внутренней модели угроз и нарушителя самого Разработчика (при наличии), так и в моделях угроз и нарушителя для ОО;
- изменения целей применения и объектов применения требований настоящего раздела.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей