Безопасность в процессах разработки и поддержки

Начать. Это бесплатно
или регистрация c помощью Вашего email-адреса
Безопасность в процессах разработки и поддержки создатель Mind Map: Безопасность в процессах разработки и поддержки

1. Процедуры управления изменениями (12.5.1)

1.1. Контроль изменений: Внесение изменений контролируется формальными процедурами управления.

1.2. Оценка рисков: Все изменения должны анализироваться на предмет возможных нарушений безопасности.

1.3. Документирование: Введение новых и изменения существующих систем сопровождается документированием и тестированием.

1.3.1. Учет уровней разрешений.

1.3.2. Анализ целостности мер контроля.

1.3.3. Обновление документации.

1.3.4. Управление версиями ПО.

1.3.5. Записи всех запросов на изменение.

1.3.6. Ограничения для программистов: Доступ только к тем частям системы, которые необходимы для работы.

2. Техническая проверка после изменений (12.5.2)

2.1. Тестирование систем после изменений: Анализ и тестирование прикладных программ для предотвращения влияния на функционирование и безопасность.

2.2. Планирование и бюджетирование: Поддержка системы требует ежегодного анализа и тестирования при изменениях.

2.3. Оповещение о системных изменениях: Необходимы своевременные уведомления для проведения тестирования.

2.4. Обновление планов непрерывности бизнеса: Внесение изменений в планы в соответствии с изменениями систем.

3. Ограничения на изменения пакетов программ (12.5.3)

3.1. Избегание модификаций: Необходимо минимизировать изменения программных пакетов.

3.2. Риски изменений

3.2.1. Риски для встроенных средств контроля.

3.2.2. Согласие поставщика.

3.2.3. Возможные обновления от поставщика.

3.2.4. Ответственность за сопровождение ПО.

3.3. Оригинальное ПО: Оригинальное ПО сохраняется, изменения вносятся в копии.

3.4. Тестирование и документация: Все изменения тщательно тестируются и документируются.

4. Предотвращение утечки информации (12.5.4)

4.1. Контроль скрытых каналов передачи

4.1.1. Сканирование носителей информации и каналов связи.

4.1.2. Маскирование поведения систем для уменьшения рисков.

4.1.3. Использование надежных систем и ПО.

4.2. Мониторинг деятельности: Регулярный мониторинг использования систем и ресурсов.

4.3. Защита от "троянских программ": Принятие мер по защите от вредоносного ПО снижает риск утечки.

5. Аутсорсинг разработки ПО (12.5.5)

5.1. Контроль разработки через внешние организации

5.1.1. Лицензионные соглашения и права интеллектуальной собственности.

5.1.2. Сертификация качества.

5.1.3. Условия депонирования.

5.1.4. Права доступа для проверки работы.

5.1.5. Требования к качеству и безопасности.

5.1.6. Тестирование на наличие вредоносного ПО перед установкой.