АБС повинні здійснюватися за погодженням з підрозділами (особами) в організації БС РФ, відповідальними за забезпечення ІБ. Введення в дію, експлуатація, зняття з експлуатації АБС в частині питань ІБ повинні здійснюватися за участю підрозділу (осіб) в організації, відповідального за забезпечення ІБ. На стадіях, пов'язаних з розробкою АБС (визначення вимог зацікавлених сторін, аналіз вимог, архітектурне проектування, реалізація, інтеграція та верифікація, постачання, введення в дію), розробником має бути забезпечений захист від загроз:
невірної формулювання вимог до АБС;
вибору неадекватної моделі ЖЦ АБС, у тому числі неадекватного вибору процесів ЖЦ і залучених в них учасників;
прийняття невірних проектних рішень;
внесення розробником дефектів на рівні архітектурних рішень;
внесення розробником недокументованих можливостей в АБС;
неадекватною (неповної, суперечливою, некоректної та ін.) реалізації вимог до АБС;
розробки неякісної документації;
збірки АБС розробником/виробником з порушенням вимог, що призводить до появи недокументованих можливостей в АБС або до неадекватної реалізації вимог;
невірного конфігурування АБС;
приймання АБС, що не відповідає вимогам замовника;
внесення недокументованих можливостей в АБС в процесі проведення приймальних випробувань допомогою недокументованих можливостей функціональних тестів і тестів ІБ.
Залучені для розробки і (або) виробництва засобів і систем захисту АБС на договірній основі спеціалізовані організації повинні мати ліцензії на даний вид діяльності відповідно до законодавства РФ. При придбанні організаціями БС РФ готових АБС та їх компонентів розробником повинна бути надана документація, яка містить у тому числі опис захисних заходів, вжитих розробником щодо загроз.
Також розробником повинна бути представлена ??документація, яка містить опис захисних заходів, вжитих розробником АБС та їх компонентів щодо безпеки розробки, безпеки постачання й експлуатації, підтримки життєвого циклу, включаючи опис моделі життєвого циклу, оцінки вразливості. Дана документація може бути представлена ??в рамках декларації про відповідність або бути результатом оцінки відповідності виробу, проведеної в рамках відповідної системи оцінки.
У договір (контракт) про поставку АБС та їх компонентів організаціям БС РФ рекомендується включати положення з супроводу поставляються виробів на весь термін їх служби. У разі неможливості включення в договір (контракт) зазначених вимог до розробника повинна бути розглянута можливість придбання повного комплекту робочої конструкторської документації на виріб, що забезпечує можливість супроводу АБС та їх компонентів без участі розробника. Якщо обидва зазначених варіанти неприйнятні, наприклад, внаслідок високої вартості, керівництво організації повинне забезпечити аналіз впливу загрози неможливість супроводження АБС та їх компонентів на забезпечення безперервності бізнесу.
На стадії експлуатації відповідно до документом ISO TR 13569 має бути забезпечений захист від наступних загроз:
умисне несанкціоноване розкриття, модифікація або знищення інформації;
ненавмисна модифікація або знищення інформації;
недоставляння або помилкова доставка інформації;
відмова в обслуговуванні або погіршення обслуговування.
Крім цього, актуальною є загроза відмови від авторства повідомлення.
На стадії супроводження має бути забезпечений захист від загроз:
внесення змін до АБС, що призводять до порушення її функціональності або до появи недокументованих можливостей;
невнесення розробником/постачальником змін, необхідних для підтримки правильного функціонування і правильного стану АБС.
На стадії зняття з експлуатації повинно бути забезпечено видалення інформації, несанкціоноване використання якої може завдати шкоди бізнес-діяльності організації, та інформації, використовуваної засобами забезпечення ІБ, з постійної пам'яті АБС або з зовнішніх носіїв. Вимоги ІБ повинні включатися в усі договори та контракти на проведення робіт або надання послуг на всіх стадіях ЖЦ АБС.
2.4 Загальні вимоги щодо забезпечення інформаційної безпеки при управлінні доступом та реєстрації
При розподілі прав доступу персоналу і клієнтів до активів організації БС РФ слід керуватися спеціальним принципом «знання своїх клієнтів і службовців», висловлюваним наступним чином:
