7.4.3.1. Описание процесса безопасного жизненного цикла ОО. Определение методологии и практик процесса безопасного жизненного цикла ОО

Под методологией безопасного жизненного цикла ОО в настоящем документе понимается соблюдение совокупности принципов, правил, мер, требований, а также последовательности выполнения мероприятий жизненного цикла для целей предотвращения появления и устранения уязвимостей в ОО, поддержания доверия к ОО на всем протяжении жизненного цикла ОО и обеспечения необходимого и достаточного уровня безопасности ОО.

В зависимости от выбора методологии функционирования конкретных установленных Разработчиком процессов работы команды безопасного жизненного цикла ОО возможно параллельное и одновременное выполнение ряда мероприятий, включая контрольные, и этапов жизненного цикла ОО, в связи с чем по тексту настоящего раздела вместо термина "этап" жизненного цикла будет использован термин "задача".

В состав задач безопасного жизненного цикла ОО входят:

- Задача "Организационная подготовка" - в данной задаче определяются требования по подготовке и организации процесса безопасного жизненного цикла ОО, а также требования к организационной модели команды, ролевому составу, ответственности, компетенции и обучению;

- Задача "Формирование требований к ОО" - в данной задаче формулируются функциональные и нефункциональные требования к разрабатываемому ОО, включая требования к обеспечению информационной безопасности ОО;

- Задача "Архитектура и проектирование ОО" - в данной задаче разрабатываются архитектурное решение и проектное описание ОО;

- Задача "Реализация (разработка) ОО" - в данной задаче осуществляются непосредственное кодирование и процесс реализации ОО;

- Задача "Тестирование ОО" - в данной задаче проводится проверка реализации ОО и качества его исполнения на соответствие функциональным и нефункциональным требованиям, включая требования к обеспечению информационной безопасности ОО;

- Задача "Подготовка и перенос ОО в промышленную эксплуатацию" - в данной задаче требуется проверить на готовность ОО к выполнению требований ИБ и переносу в промышленную эксплуатацию, корректно перенести версию ОО в среду эксплуатации;

- Задача "Эксплуатация и сопровождение ОО" - в данной задаче реализуются мониторинг, обновление, сопровождение и сопутствующая эксплуатация ОО;

- Задача "Вывод из эксплуатации ОО" - в данной задаче производится снятие с эксплуатации ОО.

Ориентировочный процесс безопасного жизненного цикла ОО приведен на схемах в приложении В к настоящему ПЗ.

Взаимосвязь задач безопасного жизненного цикла ОО с шагами ориентировочного процесса безопасного жизненного цикла ОО приведена в таблице 1.

Таблица 1. Связь задач безопасного жизненного цикла ОО

и шагов процесса

--------------------------------

<10> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.

<11> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.

<12> В приложении В не показан, так как выходит за пределы стандартного спринта разработки.

Разработчик должен документировать процесс безопасного жизненного цикла ОО и предусмотреть выделение ресурсов, необходимых для реализации мер по поддержанию безопасного жизненного цикла ОО.

Разработчик должен проводить внутренние проверки выполнения мер по обеспечению безопасности жизненного цикла ОО, позволяющие установить, что реализуемые меры соответствуют требованиям настоящего Профиля защиты (ПЗ).

Разработчик должен на постоянной основе осуществлять совершенствование процессов, связанных с обеспечением безопасного жизненного цикла ОО, на основе:

- несоответствий, выявленных в ходе внутренних проверок;

- изменения рисков нарушения информационной безопасности как во внутренней модели угроз и нарушителя самого Разработчика (при наличии), так и в моделях угроз и нарушителя для ОО;

- изменения целей применения и объектов применения требований настоящего раздела.