7.4.3.6. Задача "Архитектура и проектирование ОО"

Задачи ИБ, которые должны быть выполнены командой DevSecOps: разработка и выбор решений по информационной безопасности в соответствии с требованиями по обеспечению ИБ, анализ решений на соответствие требованиям ИБ, определение осуществимости выполнения требований ИБ, определение достаточности требований по ИБ для архитектуры ОО.

Состав контрольных мероприятий безопасности, выполняемых в рамках задачи "Архитектура и проектирование ОО", приведен в таблице 4.

Архитектура должна определять подход к безопасности на стадии проектирования приложения и на уровне кода. На этапе проектирования архитектуры необходимо осуществлять моделирование угроз, включающее в себя анализ актуальных рисков и атак:

- архитектура ОО должна быть гибкой, должна допускать относительно простое, без коренных структурных изменений, развитие инфраструктуры и изменение конфигурации используемых средств, наращивание функций и ресурсов ОО в соответствии с расширением сфер и задач его применения;

- должны быть обеспечены безопасность функционирования системы при различных видах угроз и надежная защита данных от ошибок проектирования, разрушения или потери информации, а также авторизация пользователей, управление рабочей загрузкой, резервированием данных и вычислительных ресурсов, максимально быстрым восстановлением функционирования ОО;

- ОО должна сопровождать актуальная документация, обеспечивающая квалифицированную эксплуатацию и возможность развития ОО.

Наиболее важными являются следующие принципы построения архитектуры ОО:

- проектирование ОО на принципах открытых систем, следование признанным стандартам, использование апробированных решений, иерархическая организация ОО способствуют прозрачности и хорошей управляемости ОО;

- непрерывность защиты, невозможность преодолеть защитные средства, исключение спонтанного или вызванного перехода в небезопасное состояние, обеспечение того, что защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ в систему или ее часть;

- эшелонирование обороны, разнообразие защитных средств, простота и управляемость ОО и системой его безопасности.

Таблица 4 - Контрольные мероприятия безопасности, выполняемые в рамках задачи "Архитектура и проектирование ОО"

Контрольные мероприятия безопасности	Подзадача жизненного цикла	Описание	Входные данные	Результат	Необходимые инструменты	Комментарий
Разработка и выбор архитектурных и проектных решений по информационной безопасности в соответствии с требованиями к ОО	Подготовка архитектурного и проектного решения	Разработка и выбор архитектурных и проектных решений по ИБ	Требования к архитектуре ОО	Требования по ИБ определены в общем виде для архитектуры ОО (требования к архитектуре сред разработки, инструментам и пр.)	Инструментальные средства для проектирования
Проверка соответствия требованиям ИБ стороннего программного обеспечения	Определить набор требований безопасности и включить их в документы о приобретении, контракты на программное обеспечение и другие соглашения с третьими сторонами	Снижение риска, связанного с использованием приобретенных программных модулей и сервисов, которые являются потенциальными источниками дополнительных уязвимостей	Набор требований безопасности и описывающие документы о приобретении, контракты на программное обеспечение и другие соглашения с третьими сторонами. Связанные с безопасностью критерии выбора коммерческого и открытого программного обеспечения. Доказательства полученных у поставщиков коммерческих программных модулей того, что их программное обеспечение соответствует требованиям безопасности	Перечень критериев выбора коммерческого и открытого ПО дополнен требованиями ИБ. Включение требований ИБ в типовые соглашения и договоры. Включение в SLA обязательства по устранению выявленных уязвимостей	Инструментальные средства для проектирования
Уточнение используемого при разработке ОО проектного решения, уточнение проекта архитектуры программы и доработка соответствующих требований по безопасности, предъявляемых к ПО	Уточнение архитектурного/проектного решения	Скорректировать (уточнить) проект архитектуры ОО и доработать соответствующие требования по ИБ, предъявляемые к ПО	Архитектурное решение ОО (описание проектируемого решения). Описание технической инфраструктуры размещения ОО (текущая документация на инфраструктуру платформы с описанием применяемых технологий: ОС, СУБД, сетевые компоненты, компоненты виртуализации, карта информационного взаимодействия и т.д.)	Скорректированный документ (свод требований) в соответствии с актуальными угрозами	Инструментальные средства для проектирования
Анализ проектных и архитектурных решений на соответствие требованиям ИБ. Контроль реализации требований по ИБ на уровне разрабатываемых решений	Уточнение архитектурного/проектного решения	Контроль реализации требований проекта архитектуры ОО и доработка соответствующих требований по ИБ, предъявляемых к ОО	Особенности программирования (используемые языки и технологии программирования, используемые библиотеки, фреймворки, готовые решения)	Требования по ИБ определены (доработаны) для архитектуры ОО	Инструментальные средства для проектирования
Анализ проектной документации	Уточнение архитектурного/проектного решения	Разработка документации на основе требований	Требования к документации	Проектная документация ОО	Инструменты управления инцидентами, используемые для управления проектами и отслеживания ошибок, инструментальные средства для проектирования
Документирование проектных решений по ИБ	Подготовка проектных решений	Описание проектных решений и указаний по применению разрабатываемого ОО	Модель угроз безопасности информации ОО и ЗБ	Предложения по нейтрализации выявленных потенциальных угроз безопасности информации	Инструментальные средства для проектирования

7.4.3.5. Задача "Формирование требований к ОО" 7.4.3.7. Задача "Реализация (разработка) ОО"