Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

A.14.2

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

А.14.2 Безопасность в процессах разработки и поддержки
Цель: обеспечить уверенность в том, что меры обеспечения информационной безопасности спроектированы и внедрены на всех стадиях жизненного цикла разработки информационных систем

A.14.2.1 Политика безопасной разработки
Мера обеспечения информационной безопасности: Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации

A.14.2.2 Процедуры управления изменениями системы
Мера обеспечения информационной безопасности: Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями

A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации

A.14.2.4 Ограничения на изменения пакетов программ
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения

A.14.2.5 Принципы безопасного проектирования систем
Мера обеспечения информационной безопасности: Принципы безопасного проектирования систем должны быть установлены, документированы, поддерживаться и применяться к любым работам по реализации информационной системы

A.14.2.6 Безопасная среда разработки
Мера обеспечения информационной безопасности: Организация должна установить и надлежащим образом защищать безопасные среды разработки, используемые для разработки и интеграции систем на всех стадиях жизненного цикла разработки системы

A.14.2.7 Разработка с использованием аутсорсинга
Мера обеспечения информационной безопасности: Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками

A.14.2.8 Тестирование безопасности систем
Мера обеспечения информационной безопасности: Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки

A.14.2.9 Приемо-сдаточные испытания системы
Мера обеспечения информационной безопасности: Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии

Связанные защитные меры

	Название	Дата	Влияние
Community 11 / 33	Проведение тестирования на проникновение Ежеквартально Вручную Техническая Детективная 02.06.2021	02.06.2021	11 / 33
Цель: определение возможностей злоумышленника по компрометации инфраструктуры организации. Тестирование на проникновение (пентест, pentest). Способы проведения: white box, gray box, black box Области тестирования: Внешний пентест (тестирование внешнего периметра) Внутренний пентест (тестирование локальной сети) Тестирование сетей WiFi Тестирование методами социальной инженерии Тестирование web приложений Пентесты проводятся преимущественно внешними подрядчиками, которых рекомендуется менять на регулярной основе для исключения эффекта замыливания. *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи по проведению тестирования на проникновение (периодичность ежеквартально или ежегодно); В отчете о выполнении задачи приводить краткие результаты тестирования или ссылку на отчет;