Целью применения методологий безопасного жизненного цикла к ОО является обеспечение высокой конкурентоспособной скорости разработки и внедрения безопасных программных продуктов при сохранении гарантированного и достаточного уровня защищенности ОО в условиях изменяющихся требований, при высокой вовлеченности и ответственности компетентных подразделений (от разработчиков, специалистов по информационной безопасности до служб эксплуатации и поддержки), одновременно привлекаемых на самых ранних этапах жизненного цикла ОО, включая обновления ОО, и сопровождающих жизненный цикл ОО вплоть до вывода ОО из эксплуатации.
Объектом применения требований настоящего раздела являются процессы жизненного цикла ОО и обеспечивающие их функционирование инфраструктура и ресурсы. Возможно частичное распространение требований на смежные и обеспечивающие процессы и объекты.
В связи с этим требования настоящего раздела могут использоваться в целях реализации требования доверия к безопасности (ТДБ) ОО (п. 7.2. настоящего документа) в случаях, когда финансовая организация либо разработчик ОО (далее при совместном упоминании - Разработчик) реализует документированный безопасный жизненный цикл ОО, основанный на современных гибких практиках разработки, тестирования и внедрения ОО, в основе которых лежат различные методологии безопасного жизненного цикла программных продуктов (например, такие международные и общепринятые в рамках соответствующих сообществ методологии, как SDLC <1>, DevSecOps <2>, BSIMM <3>, OWASP <4> и др.).
--------------------------------
<1> Software development lifecycle.
<2> Software development, security, IT operations.
<3> Building Security in Maturity Model.
<4> Open Web Application Security Project.
Требования настоящего раздела сформированы таким образом, что их выполнение должно обеспечить покрытие необходимых и достаточных требований доверия к безопасности ОО, сформированных в разделе 7.2 настоящего документа.
При этом переход от ТДБ, связанных с оценочным уровнем доверия, к настоящей методологии безопасного жизненного цикла возможен только при условии соответствия отдельных процессов Разработчика критериям и условиям, указанным в п. 7.4.2 настоящего раздела.
Оценка соответствия требованиям безопасности процесса разработки ОО, установленным настоящим разделом, проводится Разработчиком самостоятельно либо с участием организации, независимой от организаций, осуществлявших или осуществляющих оказание услуг Разработчику в области информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации). По результатам проведения оценки должен быть подготовлен отчет, содержащий:
- результаты контрольных мероприятий по ИБ;
- результаты проведенных контролей безопасности (security controls);
- результаты работ по анализу уязвимостей и тестированию защищенности ОО при подтвержденном общем соответствии документированному процессу безопасной разработки.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей