Рекомендации в области стандартизации Банка России PC БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем"

Рекомендации в области стандартизации Банка России PC БР ИББС-2.6-2014
"Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем"
(приняты и введены в действие распоряжением Банка России от 10 июля 2014 г. N Р-556)

Дата введения: 1 сентября 2014 г.

Введение

В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) организациям банковской системы Российской Федерации (БС РФ) требуется принимать меры к обеспечению информационной безопасности (ИБ) автоматизированных банковских систем (АБС) на всех стадиях их жизненного цикла.

Принятие мер к обеспечению ИБ на стадиях жизненного цикла АБС осуществляется с целью выполнения следующих основных задач:

- обеспечение реализации в АБС необходимых требований к обеспечению ИБ, установленных законодательством Российской Федерации, в том числе нормативными актами Банка России, СТО БР ИББС-1.0, внутренними документами организации БС РФ;

- снижение рисков нарушения ИБ, связанных с наличием уязвимостей в АБС;

- контроль обеспечения ИБ в рамках эксплуатации АБС;

- снижение рисков нарушения ИБ, в том числе рисков утечки информации, на этапе сопровождения, модернизации АБС и вывода из эксплуатации АБС;

- оперативная модернизация АБС в случае выявления недопустимых рисков нарушения ИБ, связанных с ее эксплуатацией.

С целью установления рекомендаций по выполнению указанных задач настоящий документ устанавливает положения:

- по организации работ на этапах жизненного цикла АБС, в том числе обеспечивающей возможность контроля с целью установления доверия к проведению указанных работ и, соответственно, доверия к реализации обеспечения ИБ в АБС;

- по составу типовых недостатков в реализации требований к обеспечению ИБ в АБС, создающих условия для возникновения недопустимых рисков нарушения ИБ при эксплуатации АБС (далее - типовые недостатки в обеспечении ИБ АБС);

- по составу, содержанию и порядку проведения работ по контролю исходного кода программного обеспечения АБС, оценке защищенности АБС и по контролю параметров настроек технических защитных мер (выявление ошибок конфигурации).

1. Область применения

Настоящие рекомендации распространяются на организации БС РФ, реализующие требования СТО БР ИББС-1.0 по обеспечению ИБ на этапах жизненного цикла АБС в рамках построения (совершенствования) системы обеспечения ИБ, а также на организации, привлекаемые организациями БС РФ для выполнения работ на стадиях жизненного цикла АБС.

Настоящий документ применяется в организациях БС РФ и иных организациях путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах и договорах, заключаемых организацией БС РФ.

Рекомендательный статус документа допускает, что по решению организации БС РФ вместо его отдельных положений могут применяться иные положения, обеспечивающие эквивалентный (аналогичный) уровень обеспечения ИБ в АБС на различных стадиях их жизненного цикла.

2. Нормативные ссылки

В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы:

СТО БР ИББС-1.0;

Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ" (PC БР ИББС-2.2).

3. Термины и определения

В настоящих рекомендациях применяются термины в соответствии со СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:

3.1. Доверие - состояние уверенности в том, что АБС соответствует установленным для нее требованиям к обеспечению ИБ.

3.2. Функция обеспечения ИБ - реализованная функциональная возможность одного или нескольких компонентов АБС, связанная с обеспечением ИБ.

3.3. Интерфейс (использования) функции обеспечения ИБ - описание и реализация способов использования функций обеспечения ИБ.

3.4. Функциональные требования к обеспечению ИБ - требования к функциям обеспечения ИБ компонентов АБС, а также интерфейсам их использования.

4. Обозначения и сокращения

АБС - автоматизированная банковская система

АРМ - автоматизированное рабочее место

СУБД - система управления базами данных

ТЗ - техническое задание

ЧТЗ - частное техническое задание

ИБ - информационная безопасность

БС РФ - банковская система Российской Федерации

5. Общие положения

5.1. В рамках настоящих рекомендаций АБС рассматривается как взаимосвязанная совокупность программно-технических средств: телекоммуникационного оборудования, средств вычислительной техники, системного программного обеспечения, прикладного программного обеспечения, а также средств защиты информации.

Основные функциональные возможности АБС, обеспечивающие автоматизацию банковских информационных и платежных технологических процессов, в том числе существенные защитные меры, реализуются одним или несколькими специализированными банковскими приложениями, входящими в состав АБС. Остальные компоненты, в том числе системное программное обеспечение, средства вычислительной техники, средства защиты информации, рассматриваются как обеспечивающая среда функционирования специализированных банковских приложений (далее - обеспечивающие компоненты АБС).

5.2. Обеспечение ИБ в АБС реализуется использованием функций обеспечения ИБ компонентов АБС, которое заключается в применении и эксплуатации защитных мер специализированных банковских приложений, а также защитных мер всех обеспечивающих компонентов АБС. Совокупность защитных мер специализированных банковских приложений АБС и защитных мер всех обеспечивающих компонентов АБС определяется как подсистема ИБ АБС.

Следует учитывать, что обеспечивающие компоненты АБС могут использоваться для обеспечения эксплуатации нескольких разных специализированных банковских приложений, соответственно, функции обеспечения ИБ таких обеспечивающих компонентов могут использоваться в разных АБС, а их защитные меры включаются в подсистемы ИБ разных АБС.

5.3. С учетом того, что обеспечивающие компоненты АБС могут являться объектом целенаправленных действий со стороны злоумышленника, обеспечение ИБ на этапах жизненного цикла АБС требует реализации мероприятий как для специализированных банковских приложений, так и для всех обеспечивающих компонентов АБС.

При организации работ на стадиях жизненного цикла АБС рекомендуется учитывать, что в ряде случаев обеспечивающие компоненты АБС создаются разными организациями, большая их часть поставляется как есть и организация - разработчик специализированных банковских приложений (далее - разработчик) не располагает полной и достоверной информацией о корректности реализации функций безопасности обеспечивающих компонентов АБС.

5.4. В соответствии с требованиями СТО БР ИББС-1.0 жизненный цикл АБС разделяется на следующие стадии:

1) разработка технического задания (ТЗ);

2) проектирование;

3) создание и тестирование;

4) приемка и ввод в действие;

5) эксплуатация;

6) сопровождение и модернизация;

7) снятие с эксплуатации.

5.5. Доверие к реализации обеспечения ИБ в АБС возможно только при наличии определенных свидетельств полноты и корректности проведения мероприятий по обеспечению ИБ на стадиях жизненного цикла компонентов АБС, как минимум специализированных банковских приложений. В качестве свидетельств доверия рекомендуется рассматривать:

- регламенты, используемые для организации деятельности по обеспечению ИБ на этапах жизненного цикла АБС;

- документированные результаты выполнения деятельности по обеспечению ИБ на этапах жизненного цикла АБС.

На каждой стадии жизненного цикла формируется собственный набор свидетельств доверия, по результатам оценки которых может быть принято решение о полноте и корректности реализации требований к обеспечению ИБ, предъявляемых к АБС.

5.6. Организацию работ по созданию АБС, включая подсистему ИБ, рекомендуется осуществлять с учетом положений комплекса стандартов и руководящих документов на автоматизированные системы "Информационная технология", в том числе ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601-90).

6. Стадия разработки технического задания

6.1. Основной задачей на стадии разработки ТЗ в части обеспечения ИБ является определение требований к обеспечению ИБ для создаваемой АБС для включения в состав ТЗ (далее - требования ТЗ к обеспечению ИБ).

Следует учитывать, что на данной стадии, как правило, отсутствует полная информация, необходимая для установления конкретных функциональных требований к обеспечению ИБ, реализуемых компонентами АБС. Установление конкретных функциональных требований к обеспечению ИБ возможно только после того, как будут определены основные технические решения создаваемой АБС. В связи с этим требования ТЗ к обеспечению ИБ рекомендуется формулировать в общем (неявном) виде, без привязки к конкретным реализациям, но при этом требования должны быть четко определены в объеме, достаточном для их однозначного понимания.

6.2. Формирование требований ТЗ к обеспечению ИБ рекомендуется осуществлять с учетом положений ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы".

6.3. Требования ТЗ к обеспечению ИБ определяются (составляются) на основе требований к обеспечению ИБ, установленных законодательством Российской Федерации, в том числе нормативными актами Банка России, СТО БР ИББС-1.0, внутренними документами организации БС РФ, которые должны быть реализованы для создаваемой АБС.

Определение состава документов, требования к обеспечению ИБ которых используются для формирования ТЗ к обеспечению ИБ, рекомендуется осуществлять на основе данных:

- о типах информации (информационных активов), предполагаемых к обработке и (или) хранению в АБС;

- о составе банковских технологических процессов организации БС РФ, для автоматизации которых она создается;

- о технологиях и средствах обработки информации, предполагаемых к использованию для реализации АБС (в случае наличия подобных данных).

6.4. При определении требований ТЗ к обеспечению ИБ рекомендуется установить:

- необходимость и целесообразность применения средств защиты информации, сертифицированных по требованиям безопасности информации;

- необходимость и целесообразность привлечения для проведения работ по созданию, модернизации, эксплуатации и выводу из эксплуатации АБС организации, имеющей лицензии на деятельность по технической защите конфиденциальной информации.

6.5. При формировании требований ТЗ к обеспечению ИБ дополнительно рекомендуется осуществить предварительный анализ актуальных угроз безопасности информации. На данном этапе рекомендуется формулировать угрозы ИБ в самом общем виде в терминах бизнес-процессов, операций и функций организации БС РФ.

В случае если на данной стадии могут быть сформированы функциональные требования к обеспечению ИБ по нейтрализации рассмотренных актуальных угроз или компенсации возможного ущерба, рекомендуется включить указанные требования в состав ТЗ к обеспечению ИБ.

6.6. В состав требований ТЗ к обеспечению ИБ рекомендуется включать требования к использованию функций обеспечения ИБ обеспечивающих компонентов АБС, используемых для обеспечения ИБ специализированных банковских приложений разных АБС, со стороны специализированных банковских приложений (требования к интеграции специализированных банковских приложений с разделяемыми обеспечивающими компонентами АБС).

6.7. Среди прочего в состав требований ТЗ к обеспечению ИБ рекомендуется включать:

- требования к обеспечению ИБ, связанные с назначением и распределением ролей в АБС;

- требования к обеспечению ИБ, связанные с управлением доступом и регистрацией;

- требования к обеспечению ИБ, связанные с защитой от воздействия вредоносного кода;

- требования к обеспечению ИБ, связанные с использованием общедоступных сетей и каналов передачи данных;

- требования к обеспечению ИБ, связанные с использованием средств криптографической защиты информации;

- требования к обеспечению ИБ, связанные с реализацией контроля эксплуатации применяемых защитных мер;

- требования к обеспечению ИБ, связанные с реализацией мониторинга ИБ, в том числе для выявления инцидентов ИБ в АБС;

- требования к безопасным технологиям обработки информации (технологическим мерам защиты информации).

6.8. ТЗ на создаваемую АБС рекомендуется как основной источник требований к обеспечению ИБ на стадии проектирования АБС.

7. Стадия проектирования АБС

7.1. Основными задачами на стадии проектирования АБС в части обеспечения ИБ являются:

- установление и документирование функциональных требований, реализуемых компонентами АБС, обеспечивающих выполнение требований ТЗ к обеспечению ИБ;

- определение состава функций обеспечения ИБ, реализуемых разделяемыми обеспечивающими компонентами АБС;

- выбор состава защитных мер (технических и (или) организационных), реализующих функции обеспечения ИБ в соответствии с функциональными требованиями к обеспечению ИБ в привязке к компонентам АБС, в том числе выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации;

- первичное определение параметров настройки технических защитных мер (стандартов конфигураций);

- определение и документирование интерфейсов использования функций обеспечения ИБ, реализованных в компонентах АБС;

- первичное определение правил эксплуатации технических защитных мер, включая правила их обновления, управления и контроля параметров их настройки;

- определение требований (состав и содержание) к регламентам реализации организационных защитных мер;

- первичное определение состава ролей субъектов доступа АБС (эксплуатирующего персонала, пользователей, программных процессов), состав ресурсов доступа (баз данных, файловых ресурсов, виртуальных машин, иных ресурсов доступа), прав доступа ролей субъектов доступа (чтение, запись, выполнение или иные типы доступа) при осуществлении доступа к ресурсам доступа;

- первичное определение требований к кадровому обеспечению подсистемы ИБ АБС.

7.2. Проектирование АБС в части обеспечения ИБ рекомендуется начинать с разработки архитектуры подсистемы ИБ АБС, в которую рекомендуется включать описание:

- предполагаемой реализации требований ТЗ к обеспечению ИБ компонентами проектируемой АБС;

- предполагаемого использования функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС;

- предполагаемого взаимодействия компонентов АБС для обеспечения ИБ в АБС.

Разработку архитектуры АБС для обеспечения ИБ следует осуществлять на основе:

- данных о разделении АБС на компоненты, составе и функциях специализированных банковских приложений и обеспечивающих компонентов АБС;

- идентификации (для стандартных) или описания (для разрабатываемых в составе АБС или самостоятельно разрабатываемых) интерфейсов взаимодействия между компонентами АБС;

- данных о программном обеспечении АБС, в том числе системном, которое является покупным коробочным (для АБС, создаваемых путем адаптации специализированного прикладного обеспечения, - данные о пакетах специализированных прикладных программ).

7.3. Проектирование подсистемы ИБАБС рекомендуется выполнять с учетом целесообразности реализации:

- централизованного управления и контроля технических защитных мер, в том числе в части обновления программного обеспечения, обновления применяемых сигнатурных баз, установления и контроля параметров их настройки;

- интеграции АБС с инфраструктурными компонентами мониторинга ИБ и выявления инцидентов ИБ, применяемыми в организации БС РФ, для чего в состав функциональных требований к обеспечению ИБ рекомендуется включить требования к составу данных мониторинга ИБ, генерируемых компонентами АБС в процессе эксплуатации АБС;

- максимально возможной степени использования функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС.

При проектировании подсистемы ИБ АБС не рекомендуется планировать необоснованную модернизацию эксплуатируемых разделяемых обеспечивающих компонентов АБС. В случае проведения модернизации указанных компонентов рекомендуется организация и проведение работ по модернизации и тестированию в части обеспечения ИБ всех АБС, использующих разделяемый обеспечивающий компонент, подвергшийся модернизации.

7.4. На этапе проектирования рекомендуется установить функциональные требования к обеспечению ИБ, включая:

- функциональные требования к обеспечению ИБ специализированных банковских приложений;

- функциональные требования к обеспечению ИБ обеспечивающих компонентов разрабатываемой АБС;

- требования к использованию функций обеспечения ИБ разделяемых обеспечивающих компонентов АБС.

Функциональные требования к обеспечению ИБ рекомендуется документировать в частном ТЗ на АБС (далее - ЧТЗ подсистемы ИБ АБС).

Если функциональные требования к обеспечению ИБ установлены на стадии разработки ТЗ, их повторное документирование в ЧТЗ подсистем ИБ АБС нецелесообразно.

7.5. С целью обеспечения полноты реализации требований ТЗ к обеспечению ИБ рекомендуется выполнять процедуры контроля соответствия требований ТЗ к обеспечению ИБ и функциональных требований к обеспечению ИБ, включенных в ЧТЗ подсистемы ИБ.

Функциональные требования ЧТЗ подсистемы ИБ АБС рекомендуется разделять на категории с учетом выполнения пункта 7.4 настоящего документа и документировать в отдельных подразделах ЧТЗ подсистемы ИБ АБС.

В случаях, когда к различным составным частям АБС предъявляются одинаковые функциональные требования, рекомендуется дублировать их в соответствующих подразделах ЧТЗ подсистемы ИБАБС.

7.6. Функциональные требования ЧТЗ подсистемы ИБ АБС рекомендуется рассматривать в качестве основного документа, на соответствие которому оцениваются свидетельства доверия, формируемые на последующих стадиях жизненного цикла АБС.

7.7. При проектировании подсистемы ИБ АБС рекомендуется определение и оформление стандартов конфигурации - документов, содержащих перечень и эталонные значения конфигурационных параметров компонентов АБС, в том числе технических защитных мер. Принятие стандартов конфигурации и контроль соответствия фактических значений параметров конфигурации их эталонным значениям - основной способ предотвращения уязвимостей, вызванных ошибками настройки компонентов АБС.

С целью формирования стандартов конфигурации обеспечивающих компонентов АБС, являющихся серийно выпускаемым программным обеспечением, в том числе операционными системами, системами управления базами данных, иным системным программным обеспечением, рекомендуется использовать стандартизованные справочники параметров конфигураций в части обеспечения ИБ, например National Checklist Program Repository [1].

7.8. Для АБС, компоненты которых предполагается размещать на средствах вычислительной техники клиентов организации БС РФ, рекомендуется определение и документирование:

- состава компонентов, передаваемых на сторону клиента;

- мер, принимаемых для обеспечения целостности программных компонентов, передаваемых на сторону клиента;

- требований к среде функционирования компонентов АБС на стороне клиента;

- требований и порядка передачи клиентом информации о проблемах и инцидентах ИБ, возникших при использовании клиентом компонентов АБС;

- требований и способов обновления компонентов АБС, эксплуатируемых на стороне клиента, а также требований к обновлению среды их функционирования.

7.9. На этапе разработки технического проекта разрабатывается проектная документация, включающая в себя проектную документацию на подсистему ИБ АБС. Определение состава и структуры проектной документации АБС рекомендуется осуществлять с учетом положений руководящего документа РД 50-34.698-90 "Автоматизированные системы. Требования к содержанию документов", а также ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" и ГОСТ 19.201-78 "Единая система программной документации. Техническое задание. Требования к содержанию и оформлению".

7.10. Проектную документацию подсистемы ИБ АБС рекомендуется разрабатывать с соблюдением следующих принципов:

- проектная документация должна содержать документированные результаты выполнения задач, установленных в пункте 7.1 настоящего документа;

- проектная документация должна предоставлять возможность проведения контроля полноты и корректности реализации функций обеспечения ИБ в соответствии с требованиями ЧТЗ подсистемы ИБ АБС в реализованных проектных решениях.

8. Стадия создания и тестирования АБС

8.1. Основными задачами на стадии создания и тестирования АБС в части обеспечения ИБ являются:

- управление версиями и изменениями разрабатываемых специализированных банковских приложений;

- обеспечение ИБ среды разработки и тестирования компонентов АБС;

- тестирование (проведение предварительных испытаний) компонентов АБС, в том числе специализированных банковских приложений;

- тестирование (проведение предварительных испытаний) компонентов АБС, предназначенных для эксплуатации на средствах вычислительной техники клиентов организации БС РФ;

- разработка эксплуатационной документации.

8.2. Основными рекомендуемыми целями применения управления версиями и изменениями разрабатываемых программных компонентов АБС в части обеспечения ИБ являются:

- контроль соответствия реализации определенных требований ЧТЗ на подсистему ИБ АБС в определенной версии (сборке) разрабатываемых специализированных банковских приложений;

- формализация порядка хранения исходных файлов и работы с ними, а также принятие мер, препятствующих несанкционированному внесению изменений в версии специализированных банковских приложений.

8.3. Для обеспечения управления версиями и изменениями разрабатываемых специализированных банковских приложений рекомендуется использовать систему управления версиями и изменениями, позволяющую осуществлять:

- маркировку (присвоение номеров) промежуточных версий разрабатываемых специализированных банковских приложений;

- идентификацию исходных файлов, используемых для сборки каждой промежуточной версии разрабатываемых специализированных банковских приложений, в том числе файлов исходного кода, ресурсных файлов, файлов документации;

- маркировку версий (редакций) исходных файлов.

8.4. Для обеспечения ИБ среды разработки и тестирования компонентов АБС рекомендуется обеспечить защиту от следующих угроз ИБ:

- несанкционированное внесение изменений в исходные файлы разрабатываемого программного обеспечения;

- приостановка процесса разработки и тестирования, приводящая к нарушению сроков выпуска окончательной (финальной) разрабатываемой версии программного обеспечения, в том числе вследствие нарушения работоспособности средств разработки, уничтожения части исходных файлов;

- несанкционированное ознакомление третьих лиц с исходными файлами и программной документацией, а также иная утечка информации в процессе разработки компонентов АБС;

- утрата прав (лицензий) на использование средств разработки.

Для противодействия угрозам разработчикам рекомендуется принять и документировать меры защиты, включающие:

- обеспечение контроля физического доступа к средствам вычислительной техники, используемым на стадии разработки и тестирования программных компонентов АБС;

- выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии разработки специализированных банковских приложений;

- выделение сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые на стадии тестирования специализированных банковских приложений и обеспечивающих компонентов АБС;

- организацию и контроль изоляции и информационного взаимодействия сегмента разработки, сегмента тестирования и сегментов вычислительных сетей, в которых располагаются средства вычислительной техники, используемые для реализации банковских технологических процессов;

- управление доступом к ресурсам, средствам разработки и тестирования специализированных банковских приложений, в том числе исходным файлам;

- регистрацию и контроль действий с исходными файлами специализированных банковских приложений;

- организацию антивирусной защиты;

- контроль использования коммуникационных портов средств вычислительной техники.

8.5. В среде разработки и тестирования не рекомендуется использование реальных данных, полученных в результате реализации банковских технологических процессов.

В случае если для тестирования необходимы данные, максимально приближенные к реальным, рекомендуется формирование тестовых массивов данных путем необратимого обезличивания, маскирования и (или) искажения сведений, полученных в результате реализации банковских технологических процессов. Не рекомендуется использование в тестировании каких-либо данных, в отношении которых на основании законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов организации БС РФ и (или) договоров с клиентами и контрагентами, распространяется требование к обеспечению ИБ.

8.6. Тестирование полноты и корректности реализации требований ЧТЗ на подсистему ИБ АБС рекомендуется проводить в три стадии:

- непосредственно в ходе разработки программных компонентов АБС;

- перед выпуском финальной версии разрабатываемых программных компонентов АБС;

- в ходе предварительных испытаний АБС.

8.7. В ходе тестирования в рамках разработки специализированных банковских приложений рекомендуется проводить автономную проверку корректности реализации требований ЧТЗ подсистемы ИБ АБС к разрабатываемым специализированным банковским приложениям. Взаимодействие разрабатываемых специализированных банковских приложений с обеспечивающими компонентами АБС и их функциями обеспечения ИБ при этом, как правило, не тестируется, а сами обеспечивающие функции эмулируются с помощью тест-программ. Данное тестирование рекомендуется проводить разработчиками в среде разработки специализированных банковских приложений.

8.8. Перед выпуском финальной версии специализированных банковских приложений рекомендуется проводить тестирование полноты и корректности выполнения требований ЧТЗ на подсистему ИБ АБС к разрабатываемым специализированным банковским приложениям с учетом взаимодействия с обеспечивающими компонентами АБС, в том числе разделяемыми. Данное тестирование рекомендуется проводить разработчикам в тестовой среде, включающей в себя все компоненты АБС, размещенные и настроенные в соответствии с проектной документацией, и воспроизводящей близкие к реальным условия их эксплуатации.

8.9. Для тестирования разрабатываемых специализированных банковских приложений рекомендуется разработать и поддерживать в актуальном состоянии программу тестирования, включающую в себя проверку выполнения всех требований к обеспечению ИБ, установленных в ЧТЗ на подсистему ИБ АБС, в том числе при некорректных значениях входных данных, неработоспособности функций обеспечения ИБ прочих обеспечивающих компонентов АБС и иных возможных нештатных режимах функционирования АБС. Программа тестирования должна идентифицировать все тесты и демонстрировать соответствующими тестами полноту выполнения требований ЧТЗ на подсистему ИБ АБС.

Для каждого теста должна быть документирована методика тестирования, составляемая на основе информации об интерфейсах функций обеспечения ИБ, включающая исходные данные, последовательность проверочных действий, ожидаемый результат выполнения теста и критерии успешного или неуспешного выполнения теста.

Факт выполнения теста должен подтверждаться протоколом тестирования, содержащим дату тестирования, указание на методику тестирования, использованные при выполнении теста исходные данные, полученный результат и решение об успешном или неуспешном выполнении теста.

К моменту выпуска финальной версии разрабатываемых программных компонентов АБС корректность реализации их функций безопасности должна подтверждаться протоколами тестирования, демонстрирующими успешное выполнение всех тестов, предусмотренных программой тестирования.

8.10. Для программных компонентов АБС, реализующих банковский платежный технологический процесс или предназначенных для обработки персональных данных или иной информации, в отношении которой законодательством Российской Федерации или решением организации БС РФ установлено требование об обеспечении безопасности, рекомендуется перед проведением предварительных испытаний осуществлять контроль исходного кода с целью выявления типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей.

Рекомендации к проведению контроля исходного кода приведены в приложении 2 к настоящему документу.

8.11. В ходе предварительных испытаний АБС рекомендуется проведение независимого или совместного с разработчиком полного тестирования с целью проверки полноты и корректности реализации всех требований ЧТЗ на подсистему ИБ АСБ применительно ко всем компонентам АБС. Предварительные испытания рекомендуется проводить в тестовой среде, включающей в себя все компоненты АБС, конфигурированные и настроенные в соответствии с проектной документацией, и воспроизводящей близкие к реальным условия их эксплуатации.

Предварительные испытания рекомендуется проводить в соответствии с программой и методикой испытаний, в которой для каждого интерфейса каждой функции обеспечения ИБ должны быть предусмотрены процедуры тестирования, соответствующие этому интерфейсу. Тестирование должно подтверждать корректность:

- реализации функции обеспечения ИБ при доступе к ней через тестируемый интерфейс;

- вызовов необходимых функций обеспечения ИБ компонентов АБС, в том числе разделяемых.

Тесты должны демонстрировать соответствие результатов выполнения функции обеспечения ИБ на заданных наборах исходных данных требованиям безопасности, заданным в ЧТЗ.

8.12. Проведение предварительных испытаний рекомендуется осуществлять с учетом положений стандарта ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем".

8.13. По результатам выполнения стадии создания и тестирования АБС рекомендуется провести необходимые корректировки проектной документации на АБС.

8.14. В состав эксплуатационной документации, включая инструкции эксплуатационного персонала, в том числе администратора ИБ АБС, рекомендуется включать следующие сведения:

- описание состава защитных мер в привязке к компонентам АБС;

- описание состава, требований к размещению, параметров настройки (стандартов конфигураций) технических защитных мер;

- описание правил эксплуатации технических защитных мер, включая правила их обновления, управления и контроля их эксплуатации, в том числе параметров их настройки;

- требования и регламенты реализации организационных защитных мер;

- требования к кадровому обеспечению подсистемы ИБ АБС, описание ролей и функций эксплуатирующего персонала;

- требования к составу и содержанию организационных мероприятий, необходимых к проведению для обеспечения развертывания и эксплуатации подсистемы ИБ АБС, в том числе мероприятий по назначению ролей эксплуатационного персонала, обучению, информированию и повышению осведомленности эксплуатационного персонала и пользователей;

- описание правил и процедур обеспечения информационной безопасности при снятии с эксплуатации АБС или по окончании обработки информации.

8.15. Для АБС, компоненты которых предполагается размещать на средствах вычислительной техники клиентов организации БС РФ, в состав эксплуатационной документации рекомендуется включение отдельных документов, предназначенных для регламентации эксплуатации компонентов АБС на стороне клиента:

- описание состава компонентов АБС, эксплуатируемых на стороне клиента;

- порядок реализации мер, принимаемых для обеспечения целостности специализированных банковских приложений и обеспечивающих компонентов АБС, передаваемых на сторону клиента;

- требования к составу, версиям и необходимым настройкам в части обеспечения ИБ программного обеспечения среды функционирования компонентов АБС на стороне клиента;

- порядок обновления компонентов АБС, эксплуатируемых на стороне клиента, а также требования к обновлению программных компонентов среды их функционирования;

- требования к составу, версиям, обновлению и настройкам технических защитных мер, применяемых на стороне клиента.

9. Стадия приемки и ввода в действие

9.1. Основными задачами на стадии приемки и ввода в действие в части обеспечения ИБ являются:

- контроль развертывания компонентов АБС в информационной инфраструктуре организации БС РФ, используемой для реализации банковских технологических процессов (далее - промышленная или производственная среда);

- проведение опытной эксплуатации;

- устранение недостатков в реализации требований ЧТЗ на подсистему ИБ АБС;

- проведение приемочных испытаний.

9.2. Для контроля развертывания компонентов АБС в промышленной среде рекомендуется:

- обеспечить контроль корректности версий и целостности специализированных банковских приложений при передаче из среды разработки и тестирования в промышленную среду;

- обеспечить контроль выполнения требований проектной и эксплуатационной документации в части размещения и установления параметров настройки технических защитных мер, реализации организационных защитных мер, определения и назначения ролей.

9.3. Опытную эксплуатацию АБС рекомендуется проводить с учетом положений ГОСТ 34.603-92.

9.4. В рамках проведения опытной эксплуатации в части обеспечения ИБ рекомендуется проведение проверки корректности функционирования подсистемы ИБ АБС в промышленной среде, а также проверки возможности реализации на этапе эксплуатации положений проектной и эксплуатационной документации в части:

- контроля эксплуатации технических защитных мер, включая правила их обновления, управления и контроля параметров их настройки;

- контроля реализации организационных защитных мер;

- требований к кадровому обеспечению подсистемы ИБ АБС.

9.5. Дополнительно в рамках проведения опытной эксплуатации рекомендуется проведение комплексной оценки защищенности, включающей проведение:

- тестирования на проникновение;

- выявления известных уязвимостей компонентов АБС.

Комплексную оценку защищенности рекомендуется проводить без уведомления персонала, задействованного в опытной эксплуатации АБС, что среди прочего позволит оценить готовность персонала к выполнению требований документов организации БС РФ в части реагирования на инциденты ИБ.

Рекомендации к проведению оценки защищенности приведены в приложении 3 к настоящему документу.

9.6. По результатам опытной эксплуатации рекомендуется:

- документально зафиксировать состав выявленных недостатков в реализации подсистемы ИБ АБС;

- по каждому недостатку провести оценку рисков и принять решение о возможности их устранения на стадии эксплуатации;

- составить планы устранения недостатков в реализации подсистемы ИБ АБС;

- провести мероприятия по устранению критичных с точки зрения обеспечения ИБ недостатков в реализации подсистемы ИБ АБС.

9.7. После устранения недостатков в реализации подсистемы ИБ АБС рекомендуется принятие решения о составе и необходимости проведения мероприятий по повторному тестированию и опытной эксплуатации АБС и (или) ее компонентов с учетом выполненных доработок и уровня критичности устраняемых недостатков.

9.8. По результатам опытной эксплуатации рекомендуется рассмотреть необходимость доработки проектной и (или) эксплуатационной документации и в случае необходимости выполнить такую доработку.

9.9. После устранения критичных недостатков в реализации подсистемы ИБ АБС, выявленных в ходе опытной эксплуатации, проводятся приемочные испытания. Определение состава и порядка проведения приемочных испытаний рекомендуется осуществлять с учетом положений ГОСТ 34.603-92.

9.10. Приемочные испытания проводятся на основе результатов предварительных испытаний, опытной эксплуатации и результатов устранения критических недостатков, выявленных на стадии опытной эксплуатации. Кроме того, в рамках приемочных испытаний могут проводиться выборочные мероприятия по тестированию функций обеспечения ИБ, предусмотренные к проведению в рамках предварительных испытаний.

10. Стадия эксплуатации

10.1. Основными задачами на стадии эксплуатации в части обеспечения ИБ являются:

- контроль состава, мест размещения и параметров настроек технических защитных мер;

- контроль выполнения правил эксплуатации технических защитных мер, включая правила обновления и управления;

- контроль выполнения регламентов реализации организационных защитных мер;

- контроль реализации мер, принимаемых для обеспечения целостности специализированных банковских приложений и обеспечивающих компонентов АБС, передаваемых на сторону клиента, а также доведения до клиентов необходимых документов, входящих в состав эксплуатационной документации;

- контроль соблюдения требований к кадровому обеспечению подсистемы ИБ АБС;

- контроль выполнения организационных мероприятий, необходимых для обеспечения эксплуатации подсистемы ИБ АБС, в том числе мероприятий по назначению ролей эксплуатационного персонала, обучению, информированию и повышению осведомленности эксплуатационного персонала и пользователей;

- контроль готовности эксплуатационного персонала к эксплуатации подсистемы ИБ АБС;

- контроль информирования пользователей о правилах эксплуатации подсистемы ИБ АБС;

- периодическая оценка защищенности АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);

- мониторинг сообщений об уязвимостях АБС и реагирование на них.

Рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации) приведены в приложении 4 к настоящему документу.

10.2. Периодичность проведения работ по оценке защищенности определяется решением организации БС РФ. Для АБС, используемых для реализации банковского платежного технологического процесса, рекомендуется проведение комплексной оценки защищенности не реже одного раза в год.

10.3. Сообщения об уязвимостях программного обеспечения могут быть получены из различных источников, таких как:

- уведомления, публикуемые центрами реагирования на компьютерные инциденты (например, уведомления CERT [2]), платежными системами (например, уведомления платежной системы VISA [3]), производителями технических и программных средств (например, уведомления компании ORACLE [4]);

- уведомления, публикуемые в общедоступных базах данных уязвимостей, а также распространяемые по подписке;

- сообщения об уязвимостях в АБС, направляемые сторонними специалистами в адрес организации БС РФ или публикуемые ими в общедоступных источниках, для чего рекомендуется предусматривать способы оперативной связи с соответствующими специалистами организацией БС РФ.

10.4. Рекомендуется организовать выполнение деятельности по:

- идентификации АБС, компонентом которых является программное обеспечение с выявленными уязвимостями;

- определению степени критичности выявленных уязвимостей для реализации банковских технологических процессов организации БС РФ;

- принятию решений об устранении уязвимости в рамках мероприятий по сопровождению и модернизации АБС в случае ее подтверждения.

11. Сопровождение и модернизация АБС

11.1. Основными задачами на стадии сопровождения и модернизации АБС в части обеспечения ИБ являются:

- обеспечение проверки в тестовой среде работоспособности подсистемы ИБ АБС после обновления компонентов АБС, выполненных в рамках сопровождения АБС;

- обеспечение доработки эксплуатационной документации при изменении применяемых версий обеспечивающих компонентов АБС;

- предотвращение утечки информации в рамках работ по сопровождению АБС, в том числе с участием сторонних организаций;

- предотвращение утечки информации при передаче средств вычислительной техники на ремонт в сторонние организации;

- обеспечение контроля полноты проведения мероприятий на стадиях жизненного цикла АБС при ее модернизации.

11.2. Для предотвращения утечки информации в рамках работ по сопровождению (модернизации) АБС, в том числе с участием сторонних организаций, рекомендуется организовать контроль лиц, осуществляющих работы по сопровождению (модернизации) АБС, со стороны работников организации БС РФ с возложением ответственности за выполнение несанкционированных и (или) нерегламентированных операций, выполняемых в рамках сопровождения (модернизации), на указанных работников организации БС РФ.

11.3. Модернизация АБС включает в себя в необходимом объеме стадии разработки технического задания, проектирования, создания и тестирования, приемки и ввода в действие.

12. Стадия снятия с эксплуатации

12.1. Основными задачами на стадии снятия с эксплуатации в части обеспечения ИБ являются:

- контроль соблюдения правил и процедур обеспечения информационной безопасности при снятии с эксплуатации АБС;

- архивирование информации, содержащейся в АБС, в случае необходимости ее дальнейшего использования;

- гарантированное уничтожение (стирание) данных и остаточной информации с машинных носителей информации АБС и (или) уничтожение машинных носителей информации АБС в случаях, предусмотренных законодательством РФ, в том числе нормативными актами Банка России, внутренними документами организации БС РФ.

Библиография

1.	National Checklist Program Repository [Электронный ресурс]: офиц. сайт. США. URL: http://web.nvd.nist.gov/view/ncp/repository (дата посл. обращения: 25.03.2014).
2.	Уведомления CERT [Электронный ресурс]: офиц. сайт. URL: http://www.us-cert.gov/ncas/bulletins (дата посл. обращения: 25.03.2014).
3.	Alerts, Bulletins & Webinars [Электронный ресурс]: офиц. сайт. США. URL: http://usa.visa.com/merchants/risk_management/cisp_alerts.html#anchor_3 (дата посл. обращения: 25.03.2014).
4.	Critical Patch Updates, Security Alerts and Third Party Bulletin [Электронный ресурс]: офиц. сайт. США.
	URL: http://www.oracle.com/technetwork/topics/security/alerts-086861.html (дата посл. обращения: 25.03.2014).
5.	ССЕ List - Archive [Электронный ресурс]: офиц. сайт. США. URL: http://cce.mitre.org/lists/cce_list.html (дата посл. обращения: 25.03.2014).