Аудит разработки и сопровождения
Необходимо проверить, обеспечен ли учет требований безопасности на каждом этапе жизненного цикла. Эти требования касаются инфраструктуры, бизнес-приложений, а также приложений, разработанных собственными силами.
Соответствующие мероприятия по обеспечению ИБ , включая функции аудита или протоколирование действий пользователя, необходимо предусматривать в прикладных системах, включая приложения, написанные самими пользователями. Эти меры должны включать в себя обеспечение функциональности подтверждения корректности ввода, обработки и вывода данных.
Подтверждение корректности обработки данных. Необходимо обращать особое внимание на корректность данных для прикладных систем.
Контроль обработки данных в системе. Данные, которые были введены правильно, могут быть искажены вследствие ошибок обработки или преднамеренных действий. С целью обнаружения подобных искажений в функции систем следует включать требования, обеспечивающие выполнение контрольных проверок. Необходимо, чтобы дизайн приложений обеспечивал уверенность в том, что внедрены ограничения, направленные на минимизацию риска отказов, ведущих к потере целостности данных.
Проверки и средства контроля. Выбор необходимых средств контроля зависит от характера бизнес-приложения и последствий для бизнеса любого искажения данных.
Безопасность системных файлов. Необходимо обеспечивать контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Чтобы свести к минимуму риск повреждения систем, находящихся в промышленной эксплуатации.
Необходимо, чтобы программное обеспечение, используемое в промышленной эксплуатации, поддерживалось на уровне, заданном разработчиком. При любом решении провести обновление до уровня новой версии следует принимать во внимание безопасность данной версии: какие новые функциональные возможности обеспечения ИБ она имеет или имеются ли серьезные проблемы обеспечения безопасности, связанные с этой версией.
Целесообразно использовать программные модификации (патчи), если они могут закрыть или снизить угрозы безопасности.
Защита тестовых данных. Данные тестирования следует защищать и контролировать. Следует избегать использования баз данных, находящихся в промышленной эксплуатации и содержащих личную информацию. Если такая информация требуется для тестирования, то перед использованием следует удалить личную информацию.
Также необходимо проверить проведение работ по устранению, мониторингу уязвимостей ИС.
Достарыңызбен бөлісу: |