Куда я попал?
Приказ ФСТЭК России № 31 от 14.03.2014
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
ОПО.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ОПО.3 Тестирование обновлений программного обеспеченияОбязательно для класса защищенности К1 К2 К3
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЦЗИ.14
ЦЗИ.14 Контроль работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования
3-О 2-О 1-О
3-О 2-О 1-О
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.25.7
УИ.25.7 Контроль соответствия примененных (установленных) обновлений (исправлений) объектов информатизации наиболее актуальным (новейшим) версиям обновлений (исправлений);
УИ.25.2
УИ.25.2 Реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений);
Guideline for a healthy information system v.2.0 (EN):
27 STRENGTHENED
/STRENGTHENED
Concerning software updates for administrated devices, they must be collected from a safe source (the site of the publisher for example), tested then transferred to a device or server used for administration and not connected to the Internet. This transfer can be carried out on a dedicated removable medium.
For organizations wishing to automate certain tasks, the implementation of secure interchange area is advisable.
Concerning software updates for administrated devices, they must be collected from a safe source (the site of the publisher for example), tested then transferred to a device or server used for administration and not connected to the Internet. This transfer can be carried out on a dedicated removable medium.
For organizations wishing to automate certain tasks, the implementation of secure interchange area is advisable.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.8
A.14.2.8 Тестирование безопасности систем
Мера обеспечения информационной безопасности: Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки
Мера обеспечения информационной безопасности: Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки
A.14.2.3
A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации
A.14.2.9
A.14.2.9 Приемо-сдаточные испытания системы
Мера обеспечения информационной безопасности: Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии
Мера обеспечения информационной безопасности: Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.29
А.8.29 Тестирование безопасности в разработке и приемке
В жизненном цикле разработки должны быть определены и внедрены процессы тестирования безопасности разрабатываемого продукта.
В жизненном цикле разработки должны быть определены и внедрены процессы тестирования безопасности разрабатываемого продукта.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.3
ОПО.3 Тестирование обновлений программного обеспечения
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.2.3
14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы
Мера обеспечения ИБ
При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации.
Руководство по применению
Этот процесс должен охватывать:
- a) пересмотр мер защиты приложения и процедур целостности для гарантии того, что они не будут нарушены изменениями в эксплуатируемой среде;
- b) обеспечение своевременного уведомления об изменениях эксплуатируемой платформы с учетом времени проведения соответствующих тестов и проверки перед внедрением;
- c) обеспечение внесения соответствующих изменений в планы обеспечения непрерывности бизнеса (раздел 17).
Дополнительная информация
Эксплуатируемые платформы включают в себя операционные системы, базы данных и связующее программное обеспечение. Меры обеспечения ИБ также должны применяться для процесса изменения приложений.
14.2.8
14.2.8 Тестирование безопасности систем
Мера обеспечения ИБ
Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки.
Руководство по применению
Новые и обновляемые системы требуют тщательного тестирования и проверки в ходе процесса разработки, включая подготовку подробного графика работ, а также входных данных и ожидаемых результатов при различных условиях тестирования. Для собственных разработок такие тесты должны первоначально выполняться командой разработки. Затем должно быть проведено независимое приемочное тестирование (как для внутренних, так и для находящихся на аутсорсинге разработок), чтобы убедиться, что система работает только так, как и ожидается (см. 14.1.1, 14.2.9). Глубина тестирования должна быть пропорциональна важности и характеру системы. (Внесена техническая поправка Cor.2:2015).
14.2.9
14.2.9 Приемо-сдаточные испытания системы
Мера обеспечения ИБ
Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии.
Руководство по применению
Приемочные испытания должны включать в себя проверку выполнения требований по ИБ (см. 14.1.1, 14.1.2) и соблюдение правил безопасной разработки системы (см. 14.2.1). Тестирование также должно проводиться в отношении заимствованных компонентов и интегрированных систем. Организации могут использовать автоматизированные инструменты, такие как анализаторы кода или сканеры уязвимостей, и должны гарантировать исправление связанных с безопасностью дефектов.
Испытания следует проводить в реалистичной среде тестирования, чтобы гарантировать надежность результатов и невозможность создания системой дополнительных уязвимостей в среде организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.29
А.8.29 Security testing in development and acceptance
Security testing processes shall be defined and implemented in the development life cycle.
Security testing processes shall be defined and implemented in the development life cycle.
Связанные защитные меры
Название | Дата | Влияние | ||
---|---|---|---|---|
Community
3
17 / 92
|
Установка обновлений для ОС Linux
Вручную
Техническая
Превентивная
Компенсирующая
31.05.2022
|
31.05.2022 | 3 17 / 92 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.