7. Стадия проектирования АБС

7.1. Основными задачами на стадии проектирования АБС в части обеспечения ИБ являются:

- установление и документирование функциональных требований, реализуемых компонентами АБС, обеспечивающих выполнение требований ТЗ к обеспечению ИБ;

- определение состава функций обеспечения ИБ, реализуемых разделяемыми обеспечивающими компонентами АБС;

- выбор состава защитных мер (технических и (или) организационных), реализующих функции обеспечения ИБ в соответствии с функциональными требованиями к обеспечению ИБ в привязке к компонентам АБС, в том числе выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации;

- первичное определение параметров настройки технических защитных мер (стандартов конфигураций);

- определение и документирование интерфейсов использования функций обеспечения ИБ, реализованных в компонентах АБС;

- первичное определение правил эксплуатации технических защитных мер, включая правила их обновления, управления и контроля параметров их настройки;

- определение требований (состав и содержание) к регламентам реализации организационных защитных мер;

- первичное определение состава ролей субъектов доступа АБС (эксплуатирующего персонала, пользователей, программных процессов), состав ресурсов доступа (баз данных, файловых ресурсов, виртуальных машин, иных ресурсов доступа), прав доступа ролей субъектов доступа (чтение, запись, выполнение или иные типы доступа) при осуществлении доступа к ресурсам доступа;

- первичное определение требований к кадровому обеспечению подсистемы ИБ АБС.

7.2. Проектирование АБС в части обеспечения ИБ рекомендуется начинать с разработки архитектуры подсистемы ИБ АБС, в которую рекомендуется включать описание:

- предполагаемой реализации требований ТЗ к обеспечению ИБ компонентами проектируемой АБС;

- предполагаемого использования функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС;

- предполагаемого взаимодействия компонентов АБС для обеспечения ИБ в АБС.

Разработку архитектуры АБС для обеспечения ИБ следует осуществлять на основе:

- данных о разделении АБС на компоненты, составе и функциях специализированных банковских приложений и обеспечивающих компонентов АБС;

- идентификации (для стандартных) или описания (для разрабатываемых в составе АБС или самостоятельно разрабатываемых) интерфейсов взаимодействия между компонентами АБС;

- данных о программном обеспечении АБС, в том числе системном, которое является покупным коробочным (для АБС, создаваемых путем адаптации специализированного прикладного обеспечения, - данные о пакетах специализированных прикладных программ).

7.3. Проектирование подсистемы ИБ АБС рекомендуется выполнять с учетом целесообразности реализации:

- централизованного управления и контроля технических защитных мер, в том числе в части обновления программного обеспечения, обновления применяемых сигнатурных баз, установления и контроля параметров их настройки;

- интеграции АБС с инфраструктурными компонентами мониторинга ИБ и выявления инцидентов ИБ, применяемыми в организации БС РФ, для чего в состав функциональных требований к обеспечению ИБ рекомендуется включить требования к составу данных мониторинга ИБ, генерируемых компонентами АБС в процессе эксплуатации АБС;

- максимально возможной степени использования функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС.

При проектировании подсистемы ИБ АБС не рекомендуется планировать необоснованную модернизацию эксплуатируемых разделяемых обеспечивающих компонентов АБС. В случае проведения модернизации указанных компонентов рекомендуется организация и проведение работ по модернизации и тестированию в части обеспечения ИБ всех АБС, использующих разделяемый обеспечивающий компонент, подвергшийся модернизации.

7.4. На этапе проектирования рекомендуется установить функциональные требования к обеспечению ИБ, включая:

- функциональные требования к обеспечению ИБ специализированных банковских приложений;

- функциональные требования к обеспечению ИБ обеспечивающих компонентов разрабатываемой АБС;

- требования к использованию функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС.

Функциональные требования к обеспечению ИБ рекомендуется документировать в частном ТЗ на АБС (далее - ЧТЗ подсистемы ИБ АБС).

Если функциональные требования к обеспечению ИБ установлены на стадии разработки ТЗ, их повторное документирование в ЧТЗ подсистем ИБ АБС нецелесообразно.

7.5. С целью обеспечения полноты реализации требований ТЗ к обеспечению ИБ рекомендуется выполнять процедуры контроля соответствия требований ТЗ к обеспечению ИБ и функциональных требований к обеспечению ИБ, включенных в ЧТЗ подсистемы ИБ.

Функциональные требования ЧТЗ подсистемы ИБ АБС рекомендуется разделять на категории с учетом выполнения пункта 7.4 настоящего документа и документировать в отдельных подразделах ЧТЗ подсистемы ИБ АБС.

В случаях, когда к различным составным частям АБС предъявляются одинаковые функциональные требования, рекомендуется дублировать их в соответствующих подразделах ЧТЗ подсистемы ИБ АБС.

7.6. Функциональные требования ЧТЗ подсистемы ИБ АБС рекомендуется рассматривать в качестве основного документа, на соответствие которому оцениваются свидетельства доверия, формируемые на последующих стадиях жизненного цикла АБС.

7.7. При проектировании подсистемы ИБ АБС рекомендуется определение и оформление стандартов конфигурации - документов, содержащих перечень и эталонные значения конфигурационных параметров компонентов АБС, в том числе технических защитных мер. Принятие стандартов конфигурации и контроль соответствия фактических значений параметров конфигурации их эталонным значениям - основной способ предотвращения уязвимостей, вызванных ошибками настройки компонентов АБС.

С целью формирования стандартов конфигурации обеспечивающих компонентов АБС, являющихся серийно выпускаемым программным обеспечением, в том числе операционными системами, системами управления базами данных, иным системным программным обеспечением, рекомендуется использовать стандартизованные справочники параметров конфигураций в части обеспечения ИБ, например National Checklist Program Repository [1].

7.8. Для АБС, компоненты которых предполагается размещать на средствах вычислительной техники клиентов организации БС РФ, рекомендуется определение и документирование:

- состава компонентов, передаваемых на сторону клиента;

- мер, принимаемых для обеспечения целостности программных компонентов, передаваемых на сторону клиента;

- требований к среде функционирования компонентов АБС на стороне клиента;

- требований и порядка передачи клиентом информации о проблемах и инцидентах ИБ, возникших при использовании клиентом компонентов АБС;

- требований и способов обновления компонентов АБС, эксплуатируемых на стороне клиента, а также требований к обновлению среды их функционирования.

7.9. На этапе разработки технического проекта разрабатывается проектная документация, включающая в себя проектную документацию на подсистему ИБ АБС. Определение состава и структуры проектной документации АБС рекомендуется осуществлять с учетом положений руководящего документа РД 50-34.698-90 "Автоматизированные системы. Требования к содержанию документов", а также ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" и ГОСТ 19.201-78 "Единая система программной документации. Техническое задание. Требования к содержанию и оформлению".

7.10. Проектную документацию подсистемы ИБ АБС рекомендуется разрабатывать с соблюдением следующих принципов:

- проектная документация должна содержать документированные результаты выполнения задач, установленных в пункте 7.1 настоящего документа;

- проектная документация должна предоставлять возможность проведения контроля полноты и корректности реализации функций обеспечения ИБ в соответствии с требованиями ЧТЗ подсистемы ИБ АБС в реализованных проектных решениях.