7.4.2.3. Определение условий для проведения мероприятий по оценке соответствия
Условиями для проведения мероприятий по оценке соответствия процесса разработки ОО требованиям безопасности являются:
- успешное прохождение этапов (задач) жизненного цикла ОО;
- получение формального заключения (результатов прохождения контрольных мероприятий по безопасности) о соответствии требованиям информационной безопасности от ответственных лиц на каждом этапе (задаче);
- получение документального подтверждения успешного переноса ОО в среду промышленной эксплуатации.
Разработчик самостоятельно определяет частоту проведения формальной оценки соответствия ОО требованиям настоящего раздела, но не реже срока, установленного нормативными правовыми актами. При этом Разработчик оценивает риски самостоятельно, и основанием для проведения формальной оценки могут, например, служить:
- изменения в составе средств обеспечения безопасной разработки кода, включая средства обеспечения информационной безопасности (например, замена либо добавление нового анализатора исходного кода);
- изменения ролевой модели процесса разработки;
- изменения в подсистемах обеспечения ИБ, компонентах ИБ ОО;
- изменения ролевой модели ОО;
- необходимость формирования дополнительных событий аудита информационной безопасности ОО;
- разработка ОО, обрабатывающего ранее не предусмотренный тип информации ограниченного доступа, подлежащей защите в соответствии с требованиями нормативных документов;
- изменение схем взаимодействия ОО со смежными системами;
- расширение или изменение структуры базы данных ОО;
Указанный перечень не является исчерпывающим и при необходимости может быть расширен. В целях принятия обоснованного решения о проведении оценки необходимо включать вышеуказанные сведения в функциональные требования, что в том числе позволит более качественно подготовить техническое задание на разработку (или иной аналогичный документ: частное техническое задание, задание на разработку и т.д.).
При этом заключением по итогам проведенной оценки будут являться результаты контрольных мероприятий по ИБ с учетом соответствия ОО функциональным требованиям безопасности (ФТБ), результаты проведенных контролей безопасности (security controls), работ по анализу уязвимостей и тестированию защищенности ОО при подтвержденном общем соответствии документированному процессу безопасной разработки.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей