Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Стандарт № ISO/IEC 27001:2022(... А.8.30
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022

Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A

А.8.30

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):
DE.CM-7
DE.CM-7: Выполняется мониторинг неавторизованных персонала, подключений, устройств и программного обеспечения 
DE.CM-6
DE.CM-6: Контролируется активность внешних поставщиков услуг для обнаружения потенциальных событий кибербезопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.2.1
6.2.1
Defined Approach Requirements: 
Bespoke and custom software are developed securely, as follows:
  • Based on industry standards and/or best practices for secure development.
  • In accordance with PCI DSS (for example, secure authentication and logging). 
  • Incorporating consideration of information security issues during each stage of the software development lifecycle. 
Customized Approach Objective:
Bespoke and custom software is developed in accordance with PCI DSS and secure development processes throughout the software lifecycle. 

Applicability Notes:
This applies to all software developed for or by the entity for the entity’s own use. This includes both bespoke and custom software. This does not apply to third-party software. 

Defined Approach Testing Procedures:
  • 6.2.1 Examine documented software development procedures to verify that processes are defined that include all elements specified in this requirement. 
Purpose:
Without the inclusion of security during the requirements definition, design, analysis, and testing phases of software development, security vulnerabilities can be inadvertently or maliciously introduced into the production environment. 

Good Practice:
Understanding how sensitive data is handled by the application—including when stored, transmitted, and in memory—can help identify where data needs to be protected. 
PCI DSS requirements must be considered when developing software to meet those requirements by design, rather than trying to retrofit the software later. 

Examples:
Secure software lifecycle management methodologies and frameworks include PCI Software Security Framework, BSIMM, OPENSAMM, and works from NIST, ISO, and SAFECode. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.7
A.14.2.7 Разработка с использованием аутсорсинга 
Мера обеспечения информационной безопасности: Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.2.1
6.2.1
Определенные Требования к Подходу:
Программное обеспечение на заказ и на заказ разрабатывается надежно, следующим образом:
  • На основе отраслевых стандартов и/или лучших практик безопасной разработки.
  • В соответствии с PCI DSS (например, безопасная аутентификация и ведение журнала).
  • Учет вопросов информационной безопасности на каждом этапе жизненного цикла разработки программного обеспечения.
Цель Индивидуального подхода:
Индивидуальное и индивидуальное программное обеспечение разрабатывается в соответствии с PCI DSS и безопасными процессами разработки на протяжении всего жизненного цикла программного обеспечения.

Примечания по применению:
Это относится ко всему программному обеспечению, разработанному для организации или для ее собственного использования. Это включает в себя как индивидуальное, так и индивидуальное программное обеспечение. Это не относится к стороннему программному обеспечению.

Определенные Процедуры Тестирования Подхода:
  • 6.2.1 Изучите документированные процедуры разработки программного обеспечения, чтобы убедиться, что определены процессы, включающие все элементы, указанные в этом требовании.
Цель:
Без учета безопасности на этапах определения требований, проектирования, анализа и тестирования разработки программного обеспечения уязвимости безопасности могут быть непреднамеренно или злонамеренно внедрены в производственную среду.

Надлежащая практика:
Понимание того, как конфиденциальные данные обрабатываются приложением, в том числе при хранении, передаче и в памяти, может помочь определить, где данные нуждаются в защите.
Требования PCI DSS необходимо учитывать при разработке программного обеспечения, чтобы оно соответствовало этим требованиям по дизайну, а не пыталось модифицировать программное обеспечение позже.

Примеры:
Методологии и фреймворки безопасного управления жизненным циклом программного обеспечения включают PCI Software Security Framework, BSIMM, OPENSAMM и работы из NIST, ISO и SafeCode.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 10 п. 3
10.3. Содержание соглашения об аутсорсинге должно однозначно среди прочего определять:
  • перечень существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ (реализацией процессов обеспечения ИБ), передаваемых на аутсорсинг поставщику услуг;
  • обязанности и разделение зоны ответственности поставщика услуг и организации БС РФ в обеспечении ИБ при аутсорсинге существенных функций;
  • требования к показателям качества деятельности поставщика услуг, определяемым на основе метрик управления риском нарушения ИБ организацией БС РФ в рамках процедур управления риском;
  • требования к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA) и к инструментам по мониторингу этого уровня;
  • требования к гарантиям поставщика услуг (в том числе финансовым) в случае наступления риска нарушения ИБ;
  • требования к инфраструктуре оказания услуг, включая инфраструктуру обеспечения ИБ и обеспечения непрерывности выполнения бизнес-функций и их восстановления после инцидентов ИБ;
  • обязанность поставщика услуг обеспечить возможность проведения организацией БС РФ или привлекаемой организацией БС РФ консалтинговой или аудиторской организацией контрольных мероприятий в рамках мониторинга риска нарушения ИБ;
  • обязанность по обеспечению сторонами конфиденциальности информации;
  • обязанность поставщика услуг проходить периодический аудит с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг;
  • обязанность поставщика услуг информировать организацию БС РФ об инцидентах ИБ, включая НСД к защищаемой информации, в течение 3‑х часов после выявления инцидента ИБ, а также о мерах, предпринятых для управления наступившими инцидентами;
  • порядок разбора конфликтов в случае нарушения поставщиком услуг условий оказания услуг, а также в случае несогласия поставщика услуг признавать факт реализации риска нарушения ИБ или инцидента ИБ;
  • обязанность поставщика услуг информировать организацию БС РФ обо всех факторах, связанных с возникновением риска нарушения ИБ при аутсорсинге существенных функций, включая тип событий и обстоятельства их реализации;
  • обязанность поставщика услуг передавать всю необходимую информацию организации БС РФ для выполнения своих обязательств перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации;
  • возможность пересмотра и изменения условий соглашения по инициативе организации БС РФ в следующих случаях:
    • наличие у организации БС РФ необходимости сохранить надлежащий уровень контроля и управления в отношении риска нарушения ИБ при аутсорсинге существенных функций; 
    • наличие у организации БС РФ необходимости принять соответствующие меры для выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти;
    •  возможность проведения регулярных (не реже одного раза в квартал) встреч представителей организации БС РФ и поставщика услуг для обсуждения статуса выполнения соглашения об аутсорсинге в части вопросов обеспечения ИБ;
  • рекомендуемые основания для отказа организаций БС РФ от исполнения соглашения с поставщиком услуг в одностороннем внесудебном порядке в случае:
    • смены владельцев (участников) поставщика услуг;
    • изменения финансового состояния поставщика услуг, его потенциала, ресурсов и возможностей в отношении выполнения услуг аутсорсинга существенных функций;
    • нарушения поставщиком услуг требований к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA);
    • препятствия (отказа) со стороны поставщика услуг реализации мониторинга и контроля риска нарушения ИБ со стороны организации БС РФ или со стороны независимой аудиторской организации;
    • возникновения риска нарушения ИБ, превышающего уровень, определенный организацией БС РФ в качестве приемлемого; 
    • возникновения инцидентов нарушения ИБ; 
  • минимальный срок выполнения условий расторжения соглашения об аутсорсинге существенных функций, необходимый организации БС РФ для возобновления выполнения бизнес-функций собственными ресурсами или с привлечением иного поставщика услуг в случаях расторжения действующего соглашения; 
  • условия привлечения поставщиком услуг субподрядчиков, предусматривающие:
    • право организации БС РФ сохранить способность мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций в случаях привлечения поставщиком услуг субподрядчиков;
    • ограничения на передачу субподрядчику обработки защищаемой информации;
    • ответственность поставщика услуг за все действия субподрядчика в части вопросов обеспечения ИБ, в том числе ответственность за соблюдение законодательства РФ;
    • обязанность поставщика услуг обеспечить уведомление и получать предварительное согласование организации БС РФ при привлечении субподрядчиков для выполнения существенных функций орга‑ низации БС РФ;
    • обязанность поставщика услуг предоставить организации БС РФ документы (в том числе политики, стандарты), разработанные поставщиком услуг для обеспечения ИБ
  • обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе:
    • в рамках законодательства о национальной платежной системе;
    • в области защиты информации ограниченного доступа, включая защиту ПДн;
    • в области безопасности критической информационной инфраструктуры; 
    • в области лицензирования отдельных видов деятельности;
    • нормативных актов Банка России, устанавливающих обязанность кредитных организаций по созданию и передаче Банку России резервных копий электронных баз данных, а также размещению их на территории РФ;
  • политику предоставления поставщику услуг доступа к защищаемой информации и инфраструктуре организации БС РФ;
  • описание контактных данных лица, ответственного за реализацию соглашения об аутсорсинге со стороны поставщика услуг, а также процедур эскалации возможных конфликтов при оказании услуг аутсорсинга;
  • требования к работникам поставщика услуг, задействованным в обеспечении ИБ. 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.30
А.8.30 Разработка программного обеспечения третьей стороной
Организация должна направлять, подвергать мониторингу и пересматривать деятельность, относящуюся к разработке систем сторонними подрядчиками.
NIST Cybersecurity Framework (EN):
DE.CM-7 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed
DE.CM-6 DE.CM-6: External service provider activity is monitored to detect potential cybersecurity events
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.2.7
14.2.7 Разработка с использованием аутсорсинга

Мера обеспечения ИБ
Организация должна осуществлять надзор за разработкой систем, выполняемой подрядчиками, и ее мониторинг.

Руководство по применению
В тех случаях, когда разработка системы осуществляется сторонними организациями, для всей цепочки поставок организации необходимо учесть следующее:
  • a) лицензионные соглашения, права на код и интеллектуальную собственность, связанные с находящимися на аутсорсинге разработками (см. 18.1.2);
  • b) договорные требования к безопасным методам проектирования, программирования и тестирования (см. 14.2.1);
  • c) предоставление утвержденной модели угроз внешнему разработчику;
  • d) приемочные испытания на качество и точность результатов;
  • e) предоставление доказательств того, что были применены пороговые критерии безопасности для установления минимально приемлемых уровней защищенности и конфиденциальности;
  • f) предоставление доказательств того, что было выполнено тестирование в достаточном объеме, чтобы подтвердить отсутствие преднамеренного или непреднамеренного вредоносного содержимого в поставляемых продуктах;
  • g) предоставление доказательств того, что было проведено достаточное тестирование для защиты от известных уязвимостей;
  • h) механизмы условного депонирования, например, если исходный код больше недоступен;
  • i) закрепленное в договоре право на аудит процессов и мер разработки;
  • j) действующая документация среды сборки, используемая для создания конечных продуктов;
  • k) организация несет ответственность за соблюдение действующего законодательства и проверку эффективности мер обеспечения ИБ.

Дополнительная информация
Дополнительную информацию об отношениях с поставщиками можно найти в ИСО/МЭК 27036 [21], [22], [23].

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.