Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

Принципы разработки безопасных систем должны быть установлены, задокументированы, поддерживаться и применяться при реализации ИС.

Рекомендации по реализации

Процедуры разработки безопасных ИС, основанные на принципах безопасности разработки, должны быть установлены, задокументированы и применены при разработке внутренней|собственной| ИС. Безопасность следует внедрять|намериться, разработать| на всех уровнях архитектуры ИС (бизнес|дело|, данные, приложения|приложение| и технология), согласовуя|уравновешивает| требования ИБ и доступности|достижимости|. Новую технологию следует проанализировать на предмет рисков|рисковый| безопасности и способности противостоять известным шаблонам атак|атаки|.

Принципы и установленные|утверждается| процедуры разработки следует регулярно пересматривать, чтобы гарантировать их соответствие современным стандартам|знамени| безопасности для процесса разработки. Их также следует регулярно пересматривать, чтобы гарантировать их соответствие современному уровню противодействия новым потенциальным угрозам, технологического прогресса|продвижению, авансу| и применяемых решений.

Принятые|утверждается| принципы безопасности разработки следует применять, по|куда| возможности, к аутсорсингу ИС посредством контрактов и других обязательных соглашений между организацией и поставщиком|структурой|. Организация должна убедиться, что строгость принципов разработки безопасных систем поставщика сравнима с ее собственной.

Процедуры разработки приложения должны применять безопасные методы разработки приложений, имеющих входные и выходные интерфейсы. Методы безопасной разработки предусматривают руководство по методам аутентификации пользователя, управлению безопасной сессией и проверке данных, проверку и удаление отладочных символов.

Безопасность среды разработки

Меры и средства

Организация должна установить и надлежащим образом защищать среды разработки для разработки и интеграции системы, охватывающих весь жизненный цикл ее разработки.

Рекомендации по реализации

Безопасная среда разработки |разработки| включает людей, процессы и технологии, связанные|ассоциируют, связали| с разработкой |разработкой| и интеграцией системы.

Организация|структура| должна оценить риски|рисковый|, связанные с индивидуальной разработкой системы |разработки|, и установить|утверждаются| безопасные среды разработки для специальной разработки системы |разработки|, рассматривая|считает|:

– чувствительность данных, которые обрабатываются, хранятся|запоминает, аккумулирует| и передаются системой;

– соответствующие внешние и внутренние|внутриконтурные| требования, например, правила или политики|полиса|;

– меры безопасности уже предприняты организацией,|структурой| осуществляющей разработку системы |разработку|;

– надежность персонала, работающего в среде разработки;

– степень|степень| аутсорсинга в разработке системы |разработкой|;

– необходимость разделения сред разных|другого| разработок |разработки|;

– контроль доступа к среде разработки |разработки|;

– мониторинг изменения|замены| среды и кода, хранящегося|запоминает, аккумулирует| там;

– хранение резервных копий|запоминают, аккумулируют| в|у| удаленном безопасном месте|местоположения, месторасположения||узла, участка|;

– контроль |контролируйте| движения данных из среды и в среду разработки.

Как только уровень безопасности специальной среды разработки установлен|решает||разработки|, организации|структура| должны задокументировать|задокументировать| соответствующие|соответствующие| процедуры безопасных процессов разработки |разработки| и довести до всех заинтересованных лиц.

Аутсорсинг разработки

Меры и средства

Организация должна руководить аутсорсингом разработки системы и мониторить его.

Рекомендации по реализации

Если осуществляется аутсорсинг разработки (привлечение для разработки сторонней организации), то по всей организационной внешней цепочке поставок необходимо учитывать следующее:

– лицензионные соглашения, собственность кода и права интеллектуальной собственности, связанные с аутсорсингом;

– договорные требования к безопасным методикам по созданию, кодированию и тестированию;

– предоставление внешнему разработчику применимой модели угроз;

– приемные испытания качества и точности результатов;

– предоставление доказательства применения порогов безопасности для минимизации применяемых уровней качества безопасности и приватности;

– предоставление доказательства достаточного тестирования на предмет отсутствия вредоносного ПО;

– предоставление доказательства достаточного тестирования на предмет наличия известных уязвимостей;

– эскроу соглашения (на случай отказа сторонней организации выполнять свои обязательства), например, если исходный код не длиннее имеющегося;

– договорное право на аудит мер защиты и процессов разработки;

– эффективная документация построенной среды, способствующая достижению результатов;

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное