ЖЦ 1 -11

Базовый состав мер защиты информации на этапе «Создание (модернизация) АС»

ЖЦ.1 (О-О-О)

Документарное определение перечня защищаемой информации, планируемой к обработке в АС.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.2 (О-О-О)

Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС).

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.3 (О-О-О)

Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:

  • состава и порядка применения технических и (или) организационных мер системы защиты информации АС;

  • параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер*.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.4 (Н-О-О)

Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели:

  • контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО;

  • принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО.

Уровень защиты информации 3-Н, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.5 (Н-О-О)

Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6 таблицы 13, при создании (модернизации), включая тестирование, АС.

Уровень защиты информации 3-Н, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.6 (О-О-О)

Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.7 (О-О-О)

Реализация запрета использования защищаемой информации в сегментах разработки и тестирования**.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.8 (Н-О-О)

Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3***.

Уровень защиты информации 3-Н, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.9 (О-О-О)

Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС).

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.10 (О-О-О)

Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЖЦ.11 (О-О-О)

Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС*4:

  • состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании — клиентские компоненты);

  • параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;

  • описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Для пояснения

Реализация - О

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложениNextЖЦ 12 -14

Last updated