Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 28

При практической возможности следует обеспечить интеграцию процедур управления изменениями ОС и приложений.

Процедуры управления изменениями должны включать (но не ограничиваться):

– ведение учета согласованных уровней полномочий;

– обеспечение изменений, введенных уполномоченными пользователями;

– анализ мер защиты и процедур целостности на предмет уверенности того, что они не скомпрометированы изменениями;

– идентификация всех субъектов ПО, информации, баз данных и аппаратных средств, требующих изменений;

– идентификация и выбор критического кода безопасности для минимизации вероятности проявления известных слабых мест безопасности;

– получение формального одобрения на детальные предложения по изменениям перед началом работы;

– одобрение уполномоченного пользователя всех изменений до их реализации;

– обновление комплекта системной документации после завершения каждого изменения, архивирование или удаление старой документации;

– управление версиями ПО для всех обновлений;

– изменение операционной документации и процедур пользователя происходит настолько, насколько это необходимо;

– внедрение изменений в согласованное время и без нарушений бизнес-процессов.

Изменение ПО может привести к изменению среды и наоборот.

Передовой опыт рекомендует проведение тестирования нового ПО в среде, отделенной от сред разработки и производства. Это позволяет контролировать новое ПО и дает дополнительную защиту операционной информации, которая используется для тестирования.

Автоматическое обновление системы обеспечивает быстроту и удобство этого процесса, но повышает риск для целостности и доступности системы. Автоматическое обновление не следует применять в критичных системах, поскольку оно может вызвать нарушение критичный приложений.

Анализ приложений после изменений операционной платформы

Меры и средства

После изменений операционной платформы следует провести анализ и тестирование критичных бизнес-приложений на предмет отсутствия негативного влияния на деятельность и безопасность организации.

Рекомендации по реализации

Этот процесс должен охватывать:

– анализ прикладных программ и процедур целостности на предмет отсутствия нарушений после изменений операционной платформы:

– своевременное поступление уведомлений об изменениях, чтобы дать возможность перед их реализацией провести соответствующие тесты и анализы:

– внесение соответствующих изменений в планы обеспечения непрерывности бизнеса.

Операционные платформы включают в себя ОС, базы данных и межплатформенное ПО (взаимодействия системного и прикладного ПО).

Ограничение изменений пакетов программ

Меры и средства

Модификации программных пакетов должны не одобряться, а ограничиваться минимально необходимыми изменениями, и все изменения строго контролироваться.

Рекомендации по реализации

Насколько возможно, пакеты ПО, поддерживаемые поставщиком, должны использоваться без модификации. В случае необходимости модификации пакета программ, следует учитывать следующее:

– риск компрометации встроенных средств контроля и процедур целостности;

– необходимость получения согласия поставщика ПО;

– возможность получения требуемых изменений от поставщика в качестве стандартной программы обновления;

– последствия в случае, если организация в результате внесенных изменений станет ответственной за дальнейшее сопровождение ПО;

– совместимость с другим ПО при использовании.

При необходимости изменений их следует вносить в созданную копию ПО, а оригинальное ПО сохранить без изменений. Следует внедрить процесс управления обновлениями ПО, чтобы быть уверенным, что самые последние патчи и обновления приложений установлены во всем разрешенном ПО.

Все изменения должны быть полностью протестированы и задокументированы так, чтобы их можно было повторно использовать, при необходимости, для будущих обновлений ПО. Если требуется, модификации должны быть протестированы и утверждены независимым экспертом.

Разработка безопасных систем

Меры и средства

Принципы разработки безопасных систем должны быть установлены, задокументированы, поддерживаться и применяться при реализации ИС.

Рекомендации по реализации

Процедуры разработки безопасных ИС, основанные на принципах безопасности разработки, должны быть установлены, задокументированы и применены при разработке внутренней|собственной| ИС. Безопасность следует внедрять|намериться, разработать| на всех уровнях архитектуры ИС (бизнес|дело|, данные, приложения|приложение| и технология), согласовуя|уравновешивает| требования ИБ и доступности|достижимости|. Новую технологию следует проанализировать на предмет рисков|рисковый| безопасности и способности противостоять известным шаблонам атак|атаки|.

Принципы и установленные|утверждается| процедуры разработки следует регулярно пересматривать, чтобы гарантировать их соответствие современным стандартам|знамени| безопасности для процесса разработки. Их также следует регулярно пересматривать, чтобы гарантировать их соответствие современному уровню противодействия новым потенциальным угрозам, технологического прогресса|продвижению, авансу| и применяемых решений.

Принятые|утверждается| принципы безопасности разработки следует применять, по|куда| возможности, к аутсорсингу ИС посредством контрактов и других обязательных соглашений между организацией и поставщиком|структурой|. Организация должна убедиться, что строгость принципов разработки безопасных систем поставщика сравнима с ее собственной.

Процедуры разработки приложения должны применять безопасные методы разработки приложений, имеющих входные и выходные интерфейсы. Методы безопасной разработки предусматривают руководство по методам аутентификации пользователя, управлению безопасной сессией и проверке данных, проверку и удаление отладочных символов.

Безопасность среды разработки

Меры и средства

Организация должна установить и надлежащим образом защищать среды разработки для разработки и интеграции системы, охватывающих весь жизненный цикл ее разработки.

Рекомендации по реализации

Безопасная среда разработки |разработки| включает людей, процессы и технологии, связанные|ассоциируют, связали| с разработкой |разработкой| и интеграцией системы.

Организация|структура| должна оценить риски|рисковый|, связанные с индивидуальной разработкой системы |разработки|, и установить|утверждаются| безопасные среды разработки для специальной разработки системы |разработки|, рассматривая|считает|:

– чувствительность данных, которые обрабатываются, хранятся|запоминает, аккумулирует| и передаются системой;

– соответствующие внешние и внутренние|внутриконтурные| требования, например, правила или политики|полиса|;

– меры безопасности уже предприняты организацией,|структурой| осуществляющей разработку системы |разработку|;

– надежность персонала, работающего в среде разработки;

– степень|степень| аутсорсинга в разработке системы |разработкой|;

– необходимость разделения сред разных|другого| разработок |разработки|;

– контроль доступа к среде разработки |разработки|;

– мониторинг изменения|замены| среды и кода, хранящегося|запоминает, аккумулирует| там;

– хранение резервных копий|запоминают, аккумулируют| в|у| удаленном безопасном месте|местоположения, месторасположения||узла, участка|;

– контроль |контролируйте| движения данных из среды и в среду разработки.

Как только уровень безопасности специальной среды разработки установлен|решает||разработки|, организации|структура| должны задокументировать|задокументировать| соответствующие|соответствующие| процедуры безопасных процессов разработки |разработки| и довести до всех заинтересованных лиц.

Аутсорсинг разработки