Автор: Lex | 95603 | 25.06.2018 12:46 |
Добрый день,коллеги!Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке,прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?С начало пишется ПО одной организацией потом оператором с привлечением лицензиата внедряются средства защиты? Тема для меня новая, интересно разобраться,буду благодарен любым комментария,ссылкам на материалы по теме.Заранее спасибо.
|
Автор: Artem, CRB | 95679 | 26.06.2018 08:23 |
to Lex
"Как обычно проходит процесс внедрения подобных систем?" Вообще по уму вы как заказчик ПО, должны составить "Техническое задание" где в том числе можете/должны указать необходимы требования по ИБ. Но ещё раз повторю "вы босс" и вы диктуете разработчику какие вам нужны параметры и характеристики. в помощь: вот тут человек заморочелся и уже всё подготовил... изучайте)) |
Автор: lex | 95707 | 26.06.2018 12:50 |
to Artem
Спасибо!Получается если у разработчика ПО нет лицензии,он в сам привлекает организацию лицензиата для осуществления работ по ИБ, если они указаны в ТЗ. Как я понимаю система защиты в идеале вводится до начала эксплуатации ИСПДн. Очень интересно посмотреть техническую,эксплуатационную документацию на "Эталоные ИСПДн" госсектора в части прописания требований по ИБ, если ктонибудь может кинуть ссылочку буду очень благодарен. Всем добра) |
Автор: oko | 95711 | 26.06.2018 13:54 |
to lex
Существует два подхода: 1. (Правильный, но и наиболее трудоемкий/затратный): "Нашли Заказчика-ИСПДн -> нашли лицензиата ТЗКИ (сами получили лицензию) -> собрались, обсудили (читай, составили ТЗ) -> написали софт с учетом требований ИБ/ЗИ -> сертифицировали (при необходимости) софт -> внедрили -> проверили -> подправили -> убедились, что новых уязвимостей/угроз безопасности не получили (не только в рамках софта, но и всей ИСПДн в целом) -> Заказчик провел контрольные (или аттестационные) испытаний, подписал акты соответствия (получил Аттестат соответствия) -> вы и лицензиат ТЗКИ (тот же или другой) оказываете Заказчику услуги по сопровождению". Увы, дальше идет клинч в случае, если придется переписывать со временем бОльшую часть софта - весь процесс придется начинать заново, ага... 2. (Типовой, которым почти все пользуются): "Нашли Заказчика-ИСПДн -> написали под него софт -> внедрили, убедились в работоспособности -> оказываете (или нет, ага) техподдержку; Заказчик же сам ищет лицензиата ТЗКИ, они вдвоем пытаются скрестить ваш софт и существующие СЗИ, проводят испытания, либо реально защищаются, либо защищаются на бумаге". Минусы такого подхода сами понимаете, думаю... ЗЫ А за желание получить доступ к "эталонной документации ИСПДн гос.органов" стоило бы давать по рукам. Пусть даже юр.оснований почти нет (если явно не прописано)... |
Автор: Гость | 95717 | 26.06.2018 15:15 |
Lex | 95603
"Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке, прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?" Многие не обратили внимание на путаницу у автора обращения между разработкой софта, разработкой и вводом в эксплуатацию ИСПДн. Нужен прикладной софт с функцией защиты? Это одно. Нужна защищенная ИСПДн в которой использован "софт с функцией защиты" или "просто софт"? Это другое. Этапы и стадии создания отражены в: ГОСТ 19.102-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Стадии разработки" ГОСТ 19.101-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Виды программ и программных документов" ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания" ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" |
Автор: lex | 95760 | 27.06.2018 16:19 |
Всем спасибо!Картина стала ясна.
|
Просмотров темы: 3956