Базовый состав мер защиты информации на этапе «Создание (модернизация) АС»
ЖЦ.1 (О-О-О)
Документарное определение перечня защищаемой информации, планируемой к обработке в АС.
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.2 (О-О-О)
Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС).
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.3 (О-О-О)
Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:
состава и порядка применения технических и (или) организационных мер системы защиты информации АС;
параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер*.
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.4 (Н-О-О)
Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели:
контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО;
принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО.
Уровень защиты информации 3-Н, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.5 (Н-О-О)
Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6 таблицы 13, при создании (модернизации), включая тестирование, АС.
Уровень защиты информации 3-Н, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.6 (О-О-О)
Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования.
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.7 (О-О-О)
Реализация запрета использования защищаемой информации в сегментах разработки и тестирования**.
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.8 (Н-О-О)
Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3***.
Уровень защиты информации 3-Н, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.9 (О-О-О)
Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС).
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.10 (О-О-О)
Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС.
Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Для пояснения
Реализация - О
Для реализации.
Проверочные процедуры (свидетельства)
Для процедур.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЖЦ.11 (О-О-О)
Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС*4:
состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании — клиентские компоненты);
параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;
описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО.
