Контакты
Подписка
МЕНЮ
Контакты
Подписка

Требования по ИБ к разработчику ПО - Форум по вопросам информационной безопасности

Требования по ИБ к разработчику ПО - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Lex | 95603 25.06.2018 12:46
Добрый день,коллеги!Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке,прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?С начало пишется ПО одной организацией потом оператором с привлечением лицензиата внедряются средства защиты? Тема для меня новая, интересно разобраться,буду благодарен любым комментария,ссылкам на материалы по теме.Заранее спасибо.

Автор: Artem, CRB | 95679 26.06.2018 08:23
to Lex
"Как обычно проходит процесс внедрения подобных систем?"

Вообще по уму вы как заказчик ПО, должны составить "Техническое задание" где в том числе можете/должны указать необходимы требования по ИБ. Но ещё раз повторю "вы босс" и вы диктуете разработчику какие вам нужны параметры и характеристики.

в помощь: https://habr.com/post/328822/
вот тут человек заморочелся и уже всё подготовил... изучайте))

Автор: lex | 95707 26.06.2018 12:50
to Artem
Спасибо!Получается если у разработчика ПО нет лицензии,он в сам привлекает организацию лицензиата для осуществления работ по ИБ, если они указаны в ТЗ. Как я понимаю система защиты в идеале вводится до начала эксплуатации ИСПДн. Очень интересно посмотреть техническую,эксплуатационную документацию на "Эталоные ИСПДн" госсектора в части прописания требований по ИБ, если ктонибудь может кинуть ссылочку буду очень благодарен. Всем добра)

Автор: oko | 95711 26.06.2018 13:54
to lex
Существует два подхода:
1. (Правильный, но и наиболее трудоемкий/затратный): "Нашли Заказчика-ИСПДн -> нашли лицензиата ТЗКИ (сами получили лицензию) -> собрались, обсудили (читай, составили ТЗ) -> написали софт с учетом требований ИБ/ЗИ -> сертифицировали (при необходимости) софт -> внедрили -> проверили -> подправили -> убедились, что новых уязвимостей/угроз безопасности не получили (не только в рамках софта, но и всей ИСПДн в целом) -> Заказчик провел контрольные (или аттестационные) испытаний, подписал акты соответствия (получил Аттестат соответствия) -> вы и лицензиат ТЗКИ (тот же или другой) оказываете Заказчику услуги по сопровождению". Увы, дальше идет клинч в случае, если придется переписывать со временем бОльшую часть софта - весь процесс придется начинать заново, ага...
2. (Типовой, которым почти все пользуются): "Нашли Заказчика-ИСПДн -> написали под него софт -> внедрили, убедились в работоспособности -> оказываете (или нет, ага) техподдержку; Заказчик же сам ищет лицензиата ТЗКИ, они вдвоем пытаются скрестить ваш софт и существующие СЗИ, проводят испытания, либо реально защищаются, либо защищаются на бумаге". Минусы такого подхода сами понимаете, думаю...

ЗЫ А за желание получить доступ к "эталонной документации ИСПДн гос.органов" стоило бы давать по рукам. Пусть даже юр.оснований почти нет (если явно не прописано)...

Автор: Гость | 95717 26.06.2018 15:15
Lex | 95603

"Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке, прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?"

Многие не обратили внимание на путаницу у автора обращения между разработкой софта, разработкой и вводом в эксплуатацию ИСПДн.

Нужен прикладной софт с функцией защиты? Это одно.
Нужна защищенная ИСПДн в которой использован "софт с функцией защиты" или "просто софт"? Это другое.

Этапы и стадии создания отражены в:
ГОСТ 19.102-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Стадии разработки"
ГОСТ 19.101-77 "ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Виды программ и программных документов"
ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания"
ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения"



Автор: lex | 95760 27.06.2018 16:19
Всем спасибо!Картина стала ясна.

Просмотров темы: 3956

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*