7.4.3.5. Задача "Формирование требований к ОО"

Задачи ИБ, которые должны быть выполнены командой DevSecOps: определение требований ИБ, определение основных векторов атак, планирование первичного конфигурирования и настройки решений по обеспечению ИБ. На основе результатов вышеперечисленного формируется окончательный свод требований по информационной безопасности и проводится оценка соответствия на этапе проверки технического решения.

Состав контрольных мероприятий безопасности, выполняемых в рамках задачи "Формирование требований к ОО", приведен в таблице 3.

Таблица 3 - Контрольные мероприятия безопасности, выполняемые в рамках задачи "Формирование требований к ОО"

Контрольные мероприятия безопасности	Подзадача жизненного цикла	Описание	Входные данные	Результат	Необходимые инструменты	Комментарий
Определение требований ИБ к ОО	Формирование требований	Формирование требований по обеспечению ИБ на основе риск-ориентированного подхода. Определение основных векторов атак для ОО с учетом специфики разрабатываемого ОО и инфраструктуры размещения	- Требования к ОО - Архитектурное решение ОО - Особенности программирования - Описание технической инфраструктуры размещения ОО - Отчеты об уязвимостях и статистика предыдущих релизов программного обеспечения	Сформированы перечни требований ИБ к: - архитектуре; - проектированию; - разработке; - тестированию; - инфраструктуре; - эксплуатации	Инструментальные средства для проектирования	Требования ИБ могут включать в себя (выборочно): - требования ИБ к архитектуре; - требования к проверке управления сессиями (сеансами) пользователей; - требования к проверке контроля доступа; - требования к валидации и проверке кода; - требования к проверке хранимой криптографии; - требования к обработке ошибок и проверке журналов регистрации ошибок; - требования к передаче данных; - требования к проверке вредоносного кода; - требования к проверке файлов и ресурсов (внешних систем-источников); - требования к проверке API и веб-служб (веб-сервисов); - требования к проверке конфигураций; - требования к управлению версиями и изменениями; - требования к сетевому взаимодействию; - требования к взаимодействию с операционной системой; - требования к качеству кода и настройкам сборки
				Перечень векторов атак для ОО
				Перечень векторов атак для ОО		Допускается использование унифицированных требований по ИБ к программному коду. Требования по надежности/киберустойчивости/непрерывности целесообразно формировать на ранних этапах жизненного цикла. Реализация и проверка требований выполняются на последующих этапах жизненного цикла.
Анализ рисков нарушения информационной безопасности		Составление актуальных слабостей ОО, перечня связанных уязвимостей и конфигураций, имеющих уязвимости	Перечень требований ИБ к ОО. Перечень актуальных атак и векторов атак для ОО. Отчеты о выявленных уязвимостях	Набор слабостей ОО, (CWE) перечень связанных уязвимостей (CVE) и конфигураций, имеющих уязвимости (CPE)	Инструментальные средства для проектирования
Требования ИБ и меры для минимизации рисков		Определение актуальных требований ИБ и мер защиты по набору мер из базы знаний по ИБ и по определенному ранее набору слабостей ОО (CWE), наборов актуальных атак CAPEC, уязвимых конфигураций CPE для ОО	Набор слабостей ОО (CWE), перечень связанных уязвимостей (CVE) и конфигураций, имеющих уязвимости (CPE)	Перечень требований ИБ и мер защиты ОО. Обновление базы знаний ИБ и актуализация состава мер и требований в ней	Инструментальные средства для проектирования
Заключение по ИБ	Заключение о соответствии	Заключение всеми заинтересованными сторонами, как внешними, так и внутренними, о соответствии набору требований и их достаточности	Перечень требований ИБ и мер защиты ОО	Требования ИБ и меры для минимизации рисков. Результат оценки остаточного уровня риска с принятием отдельных рисков	Инструментальные средства для проектирования

7.4.3.4. Организационная модель команды, ролевой состав, ответственность, компетенции и обучение 7.4.3.6. Задача "Архитектура и проектирование ОО"