ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений
6.3 Уровень подготовки к работе и эксплуатации приложений
6.3.1 Общие положения
Подготовка к работе и эксплуатации приложений показана на рисунке 12.
Рисунок 12 - Подготовка к работе и эксплуатации приложений
Уровень подготовки к работе и эксплуатации приложений включает мероприятия из области программной инженерии, связанные с подготовкой к работе, сопровождением, архивированием и удалением приложений. В соответствии с рекомендациями таких стандартов, как ИСО/МЭК 12207, ИСО/МЭК 15288, ИСО/МЭК 37500, ИСО/МЭК 15489 и другими, важными областями мероприятий в этом случае являются подготовка, аутсорсинг, разработка, приобретение, ввод в действие, использование, обслуживание, архивирование и уничтожение.
6.3.2 Подготовка: Инициирование
Цель процесса инициирования на стадии подготовки заключается в проведении предварительных или подготовительных мероприятий, в том числе связанных с началом и планированием проекта разработки. Сюда входит определение того, какие части проекта будут реализованы через аутсорсинг, разработку и приобретение.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) выработка технического видения;
b) валидация контекстов и спецификаций, связанных со сферой действия приложения;
c) идентификация и широкая категоризация информации, которая будет обрабатываться системой;
d) первоначальный высокоуровневый анализ рисков, связанных с приложением;
e) определение требований безопасности и целевого уровня доверия приложения;
f) выбор МОБП согласно этому уровню;
g) оценка стоимости и затрат, связанных с выполнением мероприятий по обеспечению безопасности в рамках проекта;
h) определение и приобретение МОБП согласно определенному целевому уровню доверия приложения;
i) определение мероприятий, связанных с безопасностью, верификацией и измерениями для МОБП, выбранных согласно определенному целевому уровню доверия приложения.
6.3.3 Подготовка: Планирование
Цель процесса планирования на стадии подготовки заключается в определении шагов по реализации мероприятий, включая начало и планирование проекта разработки. Сюда входит определение того, какие части проекта будут реализованы через аутсорсинг, разработку и приобретение.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) определение и планирование требуемых стадий и сфер мероприятий согласно эталонной модели жизненного цикла безопасности приложений;
b) планирование мероприятий, связанных с безопасностью, верификацией и измерениями для МОБП, выбранных согласно определенному целевому уровню доверия приложения.
6.3.4 Аутсорсинг: Реализация
Согласно ИСО/МЭК 37500, цель процесса аутсорсинга заключается в передаче разработки приложения, полностью или частично, третьей стороне. Аутсорсинг обычно включает определение целей и стратегии аутсорсинга, валидацию стратегии с учетом коммерческих и проектных целей, спецификацию требований к обслуживанию, а также описание модели управления и механизма поставки.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) подготовка к аутсорсингу;
b) размещение объявлений аутсорсинга;
c) выбор поставщика;
d) заключение контрактного соглашения;
e) мониторинг соглашения.
6.3.5 Аутсорсинг: Ввод в действие
Ввод в действие на стадии аутсорсинга обычно включает определение целей и стратегии аутсорсинга, валидацию стратегии с учетом коммерческих и проектных целей, спецификацию требований к обслуживанию, а также описание модели управления и механизма поставки.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) приемка приобретающей стороной;
b) закрытие.
6.3.6 Разработка: Начальная стадия
Согласно ИСО/МЭК 12207, цель процесса разработки заключается в создании части или всего приложения. Начальная стадия обычно включает создание и валидацию проектного плана разработки.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) инициация проекта;
b) итерация стадий планирования и менеджмента;
c) определение и уточнение требований;
d) достижение согласия о техническом подходе.
6.3.7 Разработка: Подготовка
Согласно ИСО/МЭК 12207, цель подготовки заключается в создании части или всего приложения. Разработка обычно включает в себя следующее: анализ и определение требований, проектирование архитектуры, детальное проектирование, создание программных средств, интеграцию программных средств, пригодность программных средств и тестирование.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) итерация стадий планирования и менеджмента;
b) определение и уточнение требований;
c) разработка архитектуры;
d) инкрементная разработка решения;
e) тестирование решения;
f) текущие задачи.
6.3.8 Разработка: Конструирование
Согласно ИСО/МЭК 12207, цель процесса конструирования заключается в создании части или всего приложения. Создание обычно включает анализ и определение требований, проектирование архитектуры, детальное проектирование, создание программных средств, интеграцию программных средств, пригодность программных средств и тестирование.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) итерация стадий планирования и менеджмента;
b) определение и уточнение требований;
c) инкрементная разработка решения;
d) тестирование решения;
e) текущие задачи.
6.3.9 Приобретение: Планирование
Согласно ИСО/МЭК 12207, цель процессов планирования и приобретения состоит в получении продукта и (или) услуги в соответствии с потребностями приобретающей стороны. Процесс приобретения начинается с выяснения потребностей заказчика.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) подготовка к приобретению;
b) объявление о приобретении;
c) выбор поставщика;
d) заключение контрактного соглашения;
e) мониторинг соглашения.
6.3.10 Приобретение: Закрытие
Согласно ИСО/МЭК 12207, цель процесса закрытия состоит в завершении процесса приобретения продукта и (или) услуги, после того как установлено, что они соответствуют потребностями приобретающей стороны. Процесс приобретения заканчивается приемкой продукта и (или) услуги, необходимых приобретающей стороне.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) приемка приобретающей стороной;
b) закрытие.
6.3.11 Ввод в действие: Планирование
Согласно ИСО/МЭК 15288, цель процесса ввода в действие состоит в определении возможности предоставлять услуги, определенные требованиями правообладателя, в среде применения. Ввод в действие заключается в инсталляции верифицированного приложения вместе с соответствующими обеспечивающими системами, например операционной системой, системой сопровождения, системой обучения операторов, системой обучения пользователей, как это определено в соглашениях. Цель стадии планирования в процессе ввода в действие заключается в создании плана ввода в действие.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) итерация стадии планирования;
b) управление итерациями;
c) оценка результатов.
6.3.12 Ввод в действие: Разработка
Согласно ИСО/МЭК 15288, цель процесса ввода в действие состоит в определении возможности предоставлять услуги, определенные требованиями правообладателя, в среде применения. Ввод в действие заключается в инсталляции верифицированного приложения вместе с соответствующими обеспечивающими системами, например операционной системой, системой сопровождения, системой обучения операторов, системой обучения пользователей, как это определено в соглашениях. Цель стадии выполнения в процессе ввода в действие состоит в реализации ввода в действие.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) проектирование решения;
b) тестирования разработчиками;
c) реализация решения;
d) проведение тестирования разработчиками;
e) интеграция и создание сборки.
6.3.13 Ввод в действие: Тестирование
Согласно ИСО/МЭК 15288, цель процесса ввода в действие состоит в определении возможности предоставлять услуги, определенные требованиями правообладателя, в среде применения. Ввод в действие заключается в инсталляции верифицированного приложения вместе с соответствующими обеспечивающими системами, например операционной системой, системой сопровождения, системой обучения операторов, системой обучения пользователей, как это определено в соглашениях. Цель стадии тестирования в процессе ввода в действие заключается в проверке успешности ввода в действие.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) реализация тестирования;
b) проведение тестирования.
6.3.14 Использование: Применение
Согласно ИСО/МЭК 15288, цель использования состоит в применении приложения для того, чтобы оказывать услуги. Процесс использования включает назначение сотрудников для управления приложением и мониторинга услуг, а также производительности операторов и приложения. Для обеспечения непрерывности предоставления услуг, персонал определяет и анализирует проблемы, возникающие при функционировании по отношению к соглашениям, правообладателям, требованиям и организационным ограничениям.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) определение организационных процессов, на которые воздействует приложение;
b) адаптация важных организационных процессов к приложению;
c) определение ролей;
d) определение информационных групп (записей);
e) анализ рисков, связанных с доступом к приложению;
f) присвоение ролей, обязанностей, квалификаций и полномочий;
g) одобрение запросов на доступ и управление ими;
h) обучение пользователей;
i) осуществление действий и предоставление услуг, связанных с приложением;
j) выполнение запросов;
k) управление инцидентами;
l) управление проблемами;
m) управление доступом;
n) управление событиями;
o) управление запросами на внесение изменений;
p) выполнение гибкой и оперативной валидации;
q) мониторинг и контроль действий приложения;
r) мониторинг и контроль использования ресурсов приложением.
6.3.15 Использование: Сопровождение
Согласно ИСО/МЭК 15288, цель процесса сопровождения заключается в том, чтобы обеспечить приложению возможность предоставлять услуги. Мероприятия сопровождения направлены на мониторинг возможности приложения предоставлять услуги, регистрацию проблем для анализа, принятие корректирующих, адаптивных, улучшающих и предотвращающих действий, а также подтверждение восстановления работоспособности.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) определение обязанностей по обеспечению сопровождения и средств связи;
b) получение результатов из собранной информации о сопровождении;
c) создание плана работ по обеспечению сопровождения;
d) определение процессов и услуг, связанных с сопровождением;
e) обучение в области сопровождения;
f) осуществление процесса сопровождения;
g) введение новшеств и развертывание средств сопровождения;
h) управление событиями и запросами;
i) планирование сопровождения;
j) мониторинг и контроль запросов и событий;
k) соглашение об уровне услуг и управление соглашениями с поставщиками;
l) оказание услуг перед поставкой и вводом в действие;
m) оказание услуг сопровождения во время эксплуатации;
n) оказание услуг по развитию программного обеспечения и устранению ошибок;
o) верификация и валидация;
p) конфигурирование и управление версиями;
q) обеспечение качества процессов, услуг и программного обеспечения (продукта);
r) анализ и измерение результатов сопровождения;
s) причинный анализ и решение проблем;
t) обновление, перенос и вывод из эксплуатации программных средств.
6.3.16 Архивирование: Обеспечение
Согласно ИСО/МЭК 15489, цель процесса архивирования заключается в ведении всех важных электронных и бумажных записей. Процесс архивирования призван обеспечить надлежащее хранение, легкий доступ и правильное документирование записей с момента создания до утилизации.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) определение и анализ политики организации в сфере сбора данных;
b) определение правил хранения данных;
c) предоставление доступа к записям;
d) сохранение записей;
e) контроль архивного использования;
f) содействие в использовании архивов;
g) управление услугами по администрированию архивов;
h) управление услугами по поиску и обучению работе с архивами;
i) управление публичным доступом к архивам и публичными программами.
6.3.17 Уничтожение: Обеспечение
Согласно ИСО/МЭК 15288, цель процесса уничтожения заключается в прекращении существования приложения. В ходе процесса уничтожения происходят деактивация, разборка и снятие системы и остаточных продуктов, их приведение в финальное состояние и возврат среды в первоначальное или приемлемое состояние.
Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:
a) определение общего графика изъятия и списания программных средств;
b) определение графика классификации и сохранения записей;
c) определение графиков изъятия операционных записей;
d) определение графиков передачи прав владения собственностью;
e) определение стандартных административных процедур;
f) определение процедур ведения записей;
g) определение действий по процедуре списания;
h) управление изменениями в организации;
i) определение действия по изъятию;
j) авторизация уничтожения записей;
k) управление процедурами ведения записей;
l) подготовка записей к получению разрешения на уничтожение;
m) выбор процесса удаления записей;
n) осуществление процесса удаления записей;
o) верификация удаления записей;
p) мониторинг и анализ результативности управления записями;
q) отправка отчета с информацией о ключевых показателях результативности руководству;
r) внедрение регулярного режима отправки отчетов в целях мониторинга и анализа результативности управления записями;
s) проведение оценки управления записями.
Подписаться на обновления