Требования по ИБ к разработчику ПО - Форум по вопросам информационной безопасности

Добрый день,коллеги!Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке,прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?С начало пишется ПО одной организацией потом оператором с привлечением лицензиата внедряются средства защиты? Тема для меня новая, интересно разобраться,буду благодарен любым комментария,ссылкам на материалы по теме.Заранее спасибо.

to Lex
"Как обычно проходит процесс внедрения подобных систем?"

Вообще по уму вы как заказчик ПО, должны составить "Техническое задание" где в том числе можете/должны указать необходимы требования по ИБ. Но ещё раз повторю "вы босс" и вы диктуете разработчику какие вам нужны параметры и характеристики.

в помощь: https://habr.com/post/328822/
вот тут человек заморочелся и уже всё подготовил... изучайте))

to Artem
Спасибо!Получается если у разработчика ПО нет лицензии,он в сам привлекает организацию лицензиата для осуществления работ по ИБ, если они указаны в ТЗ. Как я понимаю система защиты в идеале вводится до начала эксплуатации ИСПДн. Очень интересно посмотреть техническую,эксплуатационную документацию на "Эталоные ИСПДн" госсектора в части прописания требований по ИБ, если ктонибудь может кинуть ссылочку буду очень благодарен. Всем добра)

to lex
Существует два подхода:
1. (Правильный, но и наиболее трудоемкий/затратный): "Нашли Заказчика-ИСПДн -> нашли лицензиата ТЗКИ (сами получили лицензию) -> собрались, обсудили (читай, составили ТЗ) -> написали софт с учетом требований ИБ/ЗИ -> сертифицировали (при необходимости) софт -> внедрили -> проверили -> подправили -> убедились, что новых уязвимостей/угроз безопасности не получили (не только в рамках софта, но и всей ИСПДн в целом) -> Заказчик провел контрольные (или аттестационные) испытаний, подписал акты соответствия (получил Аттестат соответствия) -> вы и лицензиат ТЗКИ (тот же или другой) оказываете Заказчику услуги по сопровождению". Увы, дальше идет клинч в случае, если придется переписывать со временем бОльшую часть софта - весь процесс придется начинать заново, ага...
2. (Типовой, которым почти все пользуются): "Нашли Заказчика-ИСПДн -> написали под него софт -> внедрили, убедились в работоспособности -> оказываете (или нет, ага) техподдержку; Заказчик же сам ищет лицензиата ТЗКИ, они вдвоем пытаются скрестить ваш софт и существующие СЗИ, проводят испытания, либо реально защищаются, либо защищаются на бумаге". Минусы такого подхода сами понимаете, думаю...

ЗЫ А за желание получить доступ к "эталонной документации ИСПДн гос.органов" стоило бы давать по рукам. Пусть даже юр.оснований почти нет (если явно не прописано)...

Lex | 95603

"Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке, прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?"

Многие не обратили внимание на путаницу у автора обращения между разработкой софта, разработкой и вводом в эксплуатацию ИСПДн.

Нужен прикладной софт с функцией защиты? Это одно.
Нужна защищенная ИСПДн в которой использован "софт с функцией защиты" или "просто софт"? Это другое.

Этапы и стадии создания отражены в:
ГОСТ 19.102-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Стадии разработки"
ГОСТ 19.101-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Виды программ и программных документов"
ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания"
ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"

Всем спасибо!Картина стала ясна.