5. Общие положения

5.1. В рамках настоящих рекомендаций АБС рассматривается как взаимосвязанная совокупность программно-технических средств: телекоммуникационного оборудования, средств вычислительной техники, системного программного обеспечения, прикладного программного обеспечения, а также средств защиты информации.

Основные функциональные возможности АБС, обеспечивающие автоматизацию банковских информационных и платежных технологических процессов, в том числе существенные защитные меры, реализуются одним или несколькими специализированными банковскими приложениями, входящими в состав АБС. Остальные компоненты, в том числе системное программное обеспечение, средства вычислительной техники, средства защиты информации, рассматриваются как обеспечивающая среда функционирования специализированных банковских приложений (далее - обеспечивающие компоненты АБС).

5.2. Обеспечение ИБ в АБС реализуется использованием функций обеспечения ИБ компонентов АБС, которое заключается в применении и эксплуатации защитных мер специализированных банковских приложений, а также защитных мер всех обеспечивающих компонентов АБС. Совокупность защитных мер специализированных банковских приложений АБС и защитных мер всех обеспечивающих компонентов АБС определяется как подсистема ИБ АБС.

Следует учитывать, что обеспечивающие компоненты АБС могут использоваться для обеспечения эксплуатации нескольких разных специализированных банковских приложений, соответственно, функции обеспечения ИБ таких обеспечивающих компонентов могут использоваться в разных АБС, а их защитные меры включаются в подсистемы ИБ разных АБС.

5.3. С учетом того, что обеспечивающие компоненты АБС могут являться объектом целенаправленных действий со стороны злоумышленника, обеспечение ИБ на этапах жизненного цикла АБС требует реализации мероприятий как для специализированных банковских приложений, так и для всех обеспечивающих компонентов АБС.

При организации работ на стадиях жизненного цикла АБС рекомендуется учитывать, что в ряде случаев обеспечивающие компоненты АБС создаются разными организациями, большая их часть поставляется как есть и организация - разработчик специализированных банковских приложений (далее - разработчик) не располагает полной и достоверной информацией о корректности реализации функций безопасности обеспечивающих компонентов АБС.

5.4. В соответствии с требованиями СТО БР ИББС-1.0 жизненный цикл АБС разделяется на следующие стадии:

1) разработка технического задания (ТЗ);

2) проектирование;

3) создание и тестирование;

4) приемка и ввод в действие;

5) эксплуатация;

6) сопровождение и модернизация;

7) снятие с эксплуатации.

5.5. Доверие к реализации обеспечения ИБ в АБС возможно только при наличии определенных свидетельств полноты и корректности проведения мероприятий по обеспечению ИБ на стадиях жизненного цикла компонентов АБС, как минимум специализированных банковских приложений. В качестве свидетельств доверия рекомендуется рассматривать:

- регламенты, используемые для организации деятельности по обеспечению ИБ на этапах жизненного цикла АБС;

- документированные результаты выполнения деятельности по обеспечению ИБ на этапах жизненного цикла АБС.

На каждой стадии жизненного цикла формируется собственный набор свидетельств доверия, по результатам оценки которых может быть принято решение о полноте и корректности реализации требований к обеспечению ИБ, предъявляемых к АБС.

5.6. Организацию работ по созданию АБС, включая подсистему ИБ, рекомендуется осуществлять с учетом положений комплекса стандартов и руководящих документов на автоматизированные системы "Информационная технология", в том числе ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601-90).