8. Стадия создания и тестирования АБС
8.1. Основными задачами на стадии создания и тестирования АБС в части обеспечения ИБ являются:
- управление версиями и изменениями разрабатываемых специализированных банковских приложений;
- обеспечение ИБ среды разработки и тестирования компонентов АБС;
- тестирование (проведение предварительных испытаний) компонентов АБС, в том числе специализированных банковских приложений;
- тестирование (проведение предварительных испытаний) компонентов АБС, предназначенных для эксплуатации на средствах вычислительной техники клиентов организации БС РФ;
- разработка эксплуатационной документации.
8.2. Основными рекомендуемыми целями применения управления версиями и изменениями разрабатываемых программных компонентов АБС в части обеспечения ИБ являются:
- контроль соответствия реализации определенных требований ЧТЗ на подсистему ИБ АБС в определенной версии (сборке) разрабатываемых специализированных банковских приложений;
- формализация порядка хранения исходных файлов и работы с ними, а также принятие мер, препятствующих несанкционированному внесению изменений в версии специализированных банковских приложений.
8.3. Для обеспечения управления версиями и изменениями разрабатываемых специализированных банковских приложений рекомендуется использовать систему управления версиями и изменениями, позволяющую осуществлять:
- маркировку (присвоение номеров) промежуточных версий разрабатываемых специализированных банковских приложений;
- идентификацию исходных файлов, используемых для сборки каждой промежуточной версии разрабатываемых специализированных банковских приложений, в том числе файлов исходного кода, ресурсных файлов, файлов документации;
- маркировку версий (редакций) исходных файлов.
8.4. Для обеспечения ИБ среды разработки и тестирования компонентов АБС рекомендуется обеспечить защиту от следующих угроз ИБ:
- несанкционированное внесение изменений в исходные файлы разрабатываемого программного обеспечения;
- приостановка процесса разработки и тестирования, приводящая к нарушению сроков выпуска окончательной (финальной) разрабатываемой версии программного обеспечения, в том числе вследствие нарушения работоспособности средств разработки, уничтожения части исходных файлов;
- несанкционированное ознакомление третьих лиц с исходными файлами и программной документацией, а также иная утечка информации в процессе разработки компонентов АБС;
- утрата прав (лицензий) на использование средств разработки.
Для противодействия угрозам разработчикам рекомендуется принять и документировать меры защиты, включающие:
- обеспечение контроля физического доступа к средствам вычислительной техники, используемым на стадии разработки и тестирования программных компонентов АБС;
- выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии разработки специализированных банковских приложений;
- выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии тестирования специализированных банковских приложений и обеспечивающих компонентов АБС;
- организацию и контроль изоляции и информационного взаимодействия сегмента разработки, сегмента тестирования и сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые для реализации банковских технологических процессов;
- управление доступом к ресурсам, средствам разработки и тестирования специализированных банковских приложений, в том числе исходным файлам;
- регистрацию и контроль действий с исходными файлами специализированных банковских приложений;
- организацию антивирусной защиты;
- контроль использования коммуникационных портов средств вычислительной техники.
8.5. В среде разработки и тестирования не рекомендуется использование реальных данных, полученных в результате реализации банковских технологических процессов.
В случае если для тестирования необходимы данные, максимально приближенные к реальным, рекомендуется формирование тестовых массивов данных путем необратимого обезличивания, маскирования и (или) искажения сведений, полученных в результате реализации банковских технологических процессов. Не рекомендуется использование в тестировании каких-либо данных, в отношении которых на основании законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов организации БС РФ и (или) договоров с клиентами и контрагентами, распространяется требование к обеспечению ИБ.
8.6. Тестирование полноты и корректности реализации требований ЧТЗ на подсистему ИБ АБС рекомендуется проводить в три стадии:
- непосредственно в ходе разработки программных компонентов АБС;
- перед выпуском финальной версии разрабатываемых программных компонентов АБС;
- в ходе предварительных испытаний АБС.
8.7. В ходе тестирования в рамках разработки специализированных банковских приложений рекомендуется проводить автономную проверку корректности реализации требований ЧТЗ подсистемы ИБ АБС к разрабатываемым специализированным банковским приложениям. Взаимодействие разрабатываемых специализированных банковских приложений с обеспечивающими компонентами АБС и их функциями обеспечения ИБ при этом, как правило, не тестируется, а сами обеспечивающие функции эмулируются с помощью тест-программ. Данное тестирование рекомендуется проводить разработчиками в среде разработки специализированных банковских приложений.
8.8. Перед выпуском финальной версии специализированных банковских приложений рекомендуется проводить тестирование полноты и корректности выполнения требований ЧТЗ на подсистему ИБ АБС к разрабатываемым специализированным банковским приложениям с учетом взаимодействия с обеспечивающими компонентами АБС, в том числе разделяемыми. Данное тестирование рекомендуется проводить разработчикам в тестовой среде, включающей в себя все компоненты АБС, размещенные и настроенные в соответствии с проектной документацией, и воспроизводящей близкие к реальным условия их эксплуатации.
8.9. Для тестирования разрабатываемых специализированных банковских приложений рекомендуется разработать и поддерживать в актуальном состоянии программу тестирования, включающую в себя проверку выполнения всех требований к обеспечению ИБ, установленных в ЧТЗ на подсистему ИБ АБС, в том числе при некорректных значениях входных данных, неработоспособности функций обеспечения ИБ прочих обеспечивающих компонентов АБС и иных возможных нештатных режимах функционирования АБС. Программа тестирования должна идентифицировать все тесты и демонстрировать соответствующими тестами полноту выполнения требований ЧТЗ на подсистему ИБ АБС.
Для каждого теста должна быть документирована методика тестирования, составляемая на основе информации об интерфейсах функций обеспечения ИБ, включающая исходные данные, последовательность проверочных действий, ожидаемый результат выполнения теста и критерии успешного или неуспешного выполнения теста.
Факт выполнения теста должен подтверждаться протоколом тестирования, содержащим дату тестирования, указание на методику тестирования, использованные при выполнении теста исходные данные, полученный результат и решение об успешном или неуспешном выполнении теста.
К моменту выпуска финальной версии разрабатываемых программных компонентов АБС корректность реализации их функций безопасности должна подтверждаться протоколами тестирования, демонстрирующими успешное выполнение всех тестов, предусмотренных программой тестирования.
8.10. Для программных компонентов АБС, реализующих банковский платежный технологический процесс или предназначенных для обработки персональных данных или иной информации, в отношении которой законодательством Российской Федерации или решением организации БС РФ установлено требование об обеспечении безопасности, рекомендуется перед проведением предварительных испытаний осуществлять контроль исходного кода с целью выявления типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей.
Рекомендации к проведению контроля исходного кода приведены в приложении 2 к настоящему документу.
8.11. В ходе предварительных испытаний АБС рекомендуется проведение независимого или совместного с разработчиком полного тестирования с целью проверки полноты и корректности реализации всех требований ЧТЗ на подсистему ИБ АСБ применительно ко всем компонентам АБС. Предварительные испытания рекомендуется проводить в тестовой среде, включающей в себя все компоненты АБС, конфигурированные и настроенные в соответствии с проектной документацией, и воспроизводящей близкие к реальным условия их эксплуатации.
Предварительные испытания рекомендуется проводить в соответствии с программой и методикой испытаний, в которой для каждого интерфейса каждой функции обеспечения ИБ должны быть предусмотрены процедуры тестирования, соответствующие этому интерфейсу. Тестирование должно подтверждать корректность:
- реализации функции обеспечения ИБ при доступе к ней через тестируемый интерфейс;
- вызовов необходимых функций обеспечения ИБ компонентов АБС, в том числе разделяемых.
Тесты должны демонстрировать соответствие результатов выполнения функции обеспечения ИБ на заданных наборах исходных данных требованиям безопасности, заданным в ЧТЗ.
8.12. Проведение предварительных испытаний рекомендуется осуществлять с учетом положений стандарта ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем".
8.13. По результатам выполнения стадии создания и тестирования АБС рекомендуется провести необходимые корректировки проектной документации на АБС.
8.14. В состав эксплуатационной документации, включая инструкции эксплуатационного персонала, в том числе администратора ИБ АБС, рекомендуется включать следующие сведения:
- описание состава защитных мер в привязке к компонентам АБС;
- описание состава, требований к размещению, параметров настройки (стандартов конфигураций) технических защитных мер;
- описание правил эксплуатации технических защитных мер, включая правила их обновления, управления и контроля их эксплуатации, в том числе параметров их настройки;
- требования и регламенты реализации организационных защитных мер;
- требования к кадровому обеспечению подсистемы ИБ АБС, описание ролей и функций эксплуатирующего персонала;
- требования к составу и содержанию организационных мероприятий, необходимых к проведению для обеспечения развертывания и эксплуатации подсистемы ИБ АБС, в том числе мероприятий по назначению ролей эксплуатационного персонала, обучению, информированию и повышению осведомленности эксплуатационного персонала и пользователей;
- описание правил и процедур обеспечения информационной безопасности при снятии с эксплуатации АБС или по окончании обработки информации.
8.15. Для АБС, компоненты которых предполагается размещать на средствах вычислительной техники клиентов организации БС РФ, в состав эксплуатационной документации рекомендуется включение отдельных документов, предназначенных для регламентации эксплуатации компонентов АБС на стороне клиента:
- описание состава компонентов АБС, эксплуатируемых на стороне клиента;
- порядок реализации мер, принимаемых для обеспечения целостности специализированных банковских приложений и обеспечивающих компонентов АБС, передаваемых на сторону клиента;
- требования к составу, версиям и необходимым настройкам в части обеспечения ИБ программного обеспечения среды функционирования компонентов АБС на стороне клиента;
- порядок обновления компонентов АБС, эксплуатируемых на стороне клиента, а также требования к обновлению программных компонентов среды их функционирования;
- требования к составу, версиям, обновлению и настройкам технических защитных мер, применяемых на стороне клиента.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей