Документ описывает этапы обеспечения безопасности программного продукта на разных стадиях его жизненного цикла, начиная с разработки технического задания и заканчивая выводом из эксплуатации. Основное внимание уделяется определению угроз, проектированию системы, соблюдению процедур безопасности при разработке и тестировании, а также эффективному мониторингу и модернизации. Также приводятся ключевые требования информационной безопасности и рекомендации по их внедрению.

1. Обеспечение безопасности
программного продукта на
различных стадиях жизненного
цикла.
ПОДГОТОВИЛ УЧАЩИЙСЯ ГРУППЫ 25ТП: ЗАЙКО СЕРГЕЙ

2. Основные этапы ЖЦ с точки зрения
информационной безопасности:
 Разработка технического задания;
 Проектирование программного продукта;
 Разработка и тестирование;
 Одобрение программного продукта и ввод в действие;
 Эксплуатация;
 Сопровождение и модернизация;
 Вывод из эксплуатации программного продукта.

3. Разработка технического задания:
На начальной стадии определяются цели, задачи использования ПП и его
основные функции, определяются методы и средства разработки. Основными
направлениями, как правило, являются:
 определение угроз и оценка рисков информационной безопасности;
 взаимодействие по вопросам ИБ в рамках выполнения работ;
 выбор средств и мер для защиты и нейтрализации угроз ИБ;
 понимание требований законодательства и отнесение ПП к определенной
категории.

4. Проектирование программного продукта:
На этапе проектирования отправной точкой служит рабочий функционал и обеспечение
его безопасности - это безопасность работы через интернет и электронную почту, ведение
журналов событий, управление правами доступа и т. д.
Информационные ресурсы, которые должны быть защищены, следует подразделять по
соответствующим функциональным принципам. Требования к обеспечению безопасности тех
или иных рабочих функций должны учитываться разработчиками на этапе проектирования
системы.

5. Разработка и тестирование:
Безопасность, при разработке, может быть обеспечена:
 определением процедур разработки ПП;
 организацией среды разработки;
 обучением программистов методам безопасной разработки;
 анализом и тестированием исходных кодов на наличие уязвимостей.
При приобретении ПП необходимо уделить особое внимание оформлению
договорных обязательств. Также следует учитывать наличие у разработчика
необходимых лицензий на разработку и эксплуатацию средств и систем защиты.

6. Одобрение программного продукта и ввод
в действие:
Методика испытания программного продукта должна содержать мероприятия по
проверке требований информационной безопасности:
 документация к программному продукту, как минимум, должна содержать:
описание ролевой системы, описание механизмов доступа, регистрации событий,
целостности, резервирования, параметры настроек безопасности;
 обучение и подготовка администраторов и пользователей ПП;
 подготовка актов о завершении тестирования и приказа о вводе приложения в
эксплуатацию.

7. Эксплуатация:
На стадии эксплуатации важно учитывать:
 работоспособность всех сервисов;
 доступность к материалам всем пользователям, в соответствии с их ролями и
полномочиями;
 сбор и анализ событий доступа и поддержки работы системы;
 создание резервных и архивных копий - должно не только присутствовать, но и
быть оттестированным и практически отработанным.
Мероприятия на данном этапе должны выполняться и контролироваться с
установленной периодичностью.

8. Сопровождение и модернизация:
К основным процедурам относятся:
 влияния вносимых изменений на состояние ПП будь то внедрение нового модуля,
добавление нескольких полей данных или установка обновлений, должно
анализироваться на предмет влияния на состояние защищенности ПП. Процедуры
контроля изменений должны предусматривать порядок уведомления лиц,
ответственных за информационную безопасность, об изменениях ПП, а также
порядок анализа изменений, их утверждении и документировании;
 контроль параметров безопасности ПП должен включать проверку корректности
настроек и работоспособности защитных функций ПП. Дополнительно
пользователями и администраторами ИС должен осуществляться постоянный
мониторинг работоспособности защитных функций.

9. Вывод из эксплуатации программного
продукта:
Для обеспечения безопасности на стадии вывода из эксплуатации рекомендуется
разработать нормативный документ, содержащий мероприятия по уничтожению
информации, утилизации компонентов ПП, а также архивированию и безопасному
хранению информации. В данный процесс, помимо службы информационной
безопасности, должны быть вовлечены владельцы ПП и программисты. Все действия по
выводу из эксплуатации должны актироваться.
На данном этапе необходимо уделять внимание следующим мероприятиям:
 определение информации, подлежащей архивации и дальнейшему хранению;
 уничтожение всей информации из постоянной памяти ПП и носителей;
 демонтаж и утилизация аппаратных средств ПП.

10. Основные требования информационной
безопасности:
 Исполнение законодательства (СТБ 34.101.1-2014 (ISO/IEC 15408-1:2009), СТБ
ISO/IEC 27001);
 требования по управлению доступом на основе ролей;
 требования по обеспечению целостности всех видов информации в системе;
 требования по обеспечению доступности системы и ее элементов;
 требования по резервному и архивному копирования;
 Требования к соглашению об уровне предоставляемых услуг ИС.

11. О чем необходимо помнить:
 любая функциональность программного продукта может быть использована
мошенниками и достаточно сложно переоценить необходимость вовлечения служб
информационной безопасности в процессы жизненного цикла программного продукта;
 при одинаковой функциональности систем (приложения становятся все более похожи
друг на друга) безопасность может стать конкурентным преимуществом;
 попытки соблюдения 3 основных принципов ИБ (целостность, доступность,
конфиденциальность) на самом деле тянут за собой много проблем (например: при
обеспечении целостности надо помнить про сохранение эталонов ПО, СУБД, чтобы в
последующем можно было отобразить нужную нам информацию в ее исходном виде).