— последствия в случае, если организация в результате внесенных изменений станет ответственной за дальнейшее сопровождение ПО;
— совместимость с другим ПО при использовании.
При необходимости изменений их следует вносить в созданную копию ПО, а оригинальное ПО сохранить без изменений. Следует внедрить процесс управления обновлениями ПО, чтобы быть уверенным, что самые последние патчи и обновления приложений установлены во всем разрешенном ПО.
Все изменения должны быть полностью протестированы и задокументированы так, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений ПО. Если требуется, модификации должны быть протестированы и утверждены независимым экспертом.
Разработка безопасных систем
Меры и средства
Принципы разработки безопасных систем должны быть установлены, задокументированы, поддерживаться и применяться при реализации ИС.
Рекомендации по реализации
Процедуры разработки безопасных ИС, основанные на принципах безопасности разработки, должны быть установлены, задокументированы и применены при разработке внутренней|собственной| ИС. Безопасность следует внедрять|намериться, разработать| на всех уровнях архитектуры ИС (бизнес|дело|, данные, приложения|приложение| и технология), согласовуя|уравновешивает| требования ИБ и доступности|достижимости|. Новую технологию следует проанализировать на предмет рисков|рисковый| безопасности и способности противостоять известным шаблонам атак|атаки|.
Принципы и установленные|утверждается| процедуры разработки следует регулярно пересматривать, чтобы гарантировать их соответствие современным стандартам|знамени| безопасности для процесса разработки. Их также следует регулярно пересматривать, чтобы гарантировать их соответствие современному уровню противодействия новым потенциальным угрозам, технологического прогресса|продвижению, авансу| и применяемых решений.
Принятые|утверждается| принципы безопасности разработки следует применять, по|куда| возможности, к аутсорсингу ИС посредством контрактов и других обязательных соглашений между организацией и поставщиком|структурой|. Организация должна убедиться, что строгость принципов разработки безопасных систем поставщика сравнима с ее собственной.
Процедуры разработки приложения должны применять безопасные методы разработки приложений, имеющих входные и выходные интерфейсы. Методы безопасной разработки предусматривают руководство по методам аутентификации пользователя, управлению безопасной сессией и проверке данных, проверку и удаление отладочных символов.
Безопасность среды разработки
Меры и средства
Организация должна установить и надлежащим образом защищать среды разработки для разработки и интеграции системы, охватывающих весь жизненный цикл ее разработки.
Рекомендации по реализации
Безопасная среда разработки |разработки| включает людей, процессы и технологии, связанные|ассоциируют, связали| с разработкой |разработкой| и интеграцией системы.
Организация|структура| должна оценить риски|рисковый|, связанные с индивидуальной разработкой системы |разработки|, и установить|утверждаются| безопасные среды разработки для специальной разработки системы |разработки|, рассматривая|считает|:
— чувствительность данных, которые обрабатываются, хранятся|запоминает, аккумулирует| и передаются системой;
— соответствующие внешние и внутренние|внутриконтурные| требования, например, правила или политики|полиса|;
— меры безопасности уже предприняты организацией,|структурой| осуществляющей разработку системы |разработку|;
— надежность персонала, работающего в среде разработки;
— степень|степень| аутсорсинга в разработке системы |разработкой|;
— необходимость разделения сред разных|другого| разработок |разработки|;
— контроль доступа к среде разработки |разработки|;
— мониторинг изменения|замены| среды и кода, хранящегося|запоминает, аккумулирует| там;
— хранение резервных копий|запоминают, аккумулируют| в|у| удаленном безопасном месте|местоположения, месторасположения||узла, участка|;
— контроль |контролируйте| движения данных из среды и в среду разработки.
Как только уровень безопасности специальной среды разработки установлен|решает||разработки|, организации|структура| должны задокументировать|задокументировать| соответствующие|соответствующие| процедуры безопасных процессов разработки |разработки| и довести до всех заинтересованных лиц.
Аутсорсинг разработки
Меры и средства
Организация должна руководить аутсорсингом разработки системы и мониторить его.
Рекомендации по реализации
Если осуществляется аутсорсинг разработки (привлечение для разработки сторонней организации), то по всей организационной внешней цепочке поставок необходимо учитывать следующее:
— лицензионные соглашения, собственность кода и права интеллектуальной собственности, связанные с аутсорсингом;
— договорные требования к безопасным методикам по созданию, кодированию и тестированию;
— предоставление внешнему разработчику применимой модели угроз;
— приемные испытания качества и точности результатов;
— предоставление доказательства применения порогов безопасности для минимизации применяемых уровней качества безопасности и приватности;
— предоставление доказательства достаточного тестирования на предмет отсутствия вредоносного ПО;
— предоставление доказательства достаточного тестирования на предмет наличия известных уязвимостей;
— эскроу соглашения (на случай отказа сторонней организации выполнять свои обязательства), например, если исходный код не длиннее имеющегося;
— договорное право на аудит мер защиты и процессов разработки;
— эффективная документация построенной среды, способствующая достижению результатов;
— ответственность организации за соблюдение действующих законов и проверку эффективности контроля.
Тестирование безопасности
Меры и средства
Тестирование функциональности безопасности должно осуществляться в течение ее разработки.
Рекомендации по реализации
Новые и обновляемые системы требуют всестороннего|тщательного| тестирования и проверки в течение|на| процессов разработки, включая подготовку|подготовка| детального плана|списка| действий и тестовых вводов и ожидаемых выводов|вывод| в пределах создаваемых условий|состояния|. Для внутренних|собственного| разработок такое тестирование должно изначально|первоначально, начально| выполняться|исполнить| группой разработчиков.
Независимое тестирование должно (и для внутренней|собственный|, и для аутсорсинговой разработки|разработки|) гарантировать, что|который| системные работы проведены именно так, как ожидалось. Степень тестирования должна соответствовать важности и типу|натуре, характеру| системы.
Приёмное тестирование
Меры и средства
Программы приёмного тестирования и связанный с ним критерий должны быть установлены для новых ИС, их обновлений и новых версий.
Рекомендации по реализации
Приёмное тестирование системы должно включать|включить| проверку выполнения требований ИБ и соблюдения правил|метод| разработки безопасных систем |разработки|. Тестирование должно также проводиться|вести| на полученных компонентах|элементе| и встроенных|интегрированных, комплексных| системах.
Организации|структура| могут усилить автоматизированные инструменты, например, применить анализаторы кодов или сканеры уязвимости, и должна проверить|верифицировать| исправление дефектов, связанных с безопасностью.
Тестирование системы нужно выполнять|исполнить| в реалистичной|реалистичной| испытательной среде, чтобы гарантировать, что|который| система не создаст уязвимостей для среды организации,|структуры| и что испытания были надежными.
10.3. Тестовые данные
Цель: Обеспечить защиту данных, используемых при тестировании.
Защита тестовых данных
Меры и средства
Тестовые данные должны тщательно подбираться, защищаться и контролироваться.
Рекомендации по реализации
Тестовые данные не должны содержать персональных данных и конфиденциальной информации. Если персональные данные или любая конфиденциальная информация необходима для тестирования, все чувствительные детали и содержание должны быть защищены удалением или модификацией.
Необходимо применять следующие принципы для защиты тестовых данных:
— процедуры разграничения доступа, применяемые в эксплуатируемых системах, должны применяться и в системах тестирования;
— должна быть отдельная авторизация на каждый случай копирования операционной информации в среду тестирования;
— после завершения тестирования всю операционную информацию следует немедленно удалить из среды тестирования;
— копирование и использование операционной информации должно протоколироваться для дальнейшего аудита.
Системное и приемное испытание, как правило, требуют значительных объемов тестовых данных, которые должны быть как можно более закрыты для попадания в них операционных данных.
11. Взаимоотношения с поставщиками
Взаимоотношения с поставщиками определяют следующие составляющие:
— ИБ в отношениях с поставщиками;
— управление оказанием услуг.
11.1. ИБ в отношениях с поставщиками
Цель: Обеспечить защиту активов организации, доступных поставщикам.
ИБ при взаимоотношении с поставщиками определяют следующие составляющие:
— политика ИБ в отношениях с поставщиками;
— включение ИБ в договор с поставщиками;
— ИКТ цепочки поставок.
Политика ИБ в отношениях с поставщиками
Меры и средства
Для уменьшения рисков, связанных с доступом поставщика к активам организации, должны быть согласованы с поставщиком и задокументированы требования ИБ.