Вопрос 39: Рекомендация ITU-T X.1051. Разр. и тех. обсл. сист.: безоп. процессов разраб. и поддержки

Цель: поддержка безопасности программного обеспечения и информации прикладной системы.

Реализация изменений должна строго контролироваться пользователем формальной процедуры контроля изменений.

Формальные процедуры контроля изменений в системах электросвязи должны быть строго задокументированы и введены в действие, чтобы минимизировать порчу информационных систем.

Введение новых систем и большие изменения в существующих системах должны сопровождаться формальными процессами документирования, спецификации, тестирования, контроля качества, а также управляемой реализацией.

Этот процесс должен охватывать определение риска, анализ влияний изменений и спецификацию необходимых средств управления безопасностью.

Этот процесс должен содержать:

–        необходимые изменения, представленные уполномоченными пользователями;

–        проверку средств контроля процедур обеспечения целостности, чтобы убедиться, что они не скомпрометированы этими изменениями;

–        выявление всего компьютерного программного обеспечения, информации, объектов баз данных и аппаратных средств, требующих изменения;

–        получение формального одобрения детализированных предложений до начала работы;

–        гарантию того, что уполномоченный пользователь согласился с изменениями до их реализации;

–        гарантию того, что набор системной документации обновляется после завершения каждого изменения и что старая документация архивируется или уничтожается;

–        поддержание контроля номера версии при всех обновлениях программного обеспечения;

–        поддержание контрольного журнала всех запросов на изменение;

–         гарантию того, что изменения реализуются в нужное время и не мешают затронутым процессам бизнеса электросвязи.

После изменений прикладные системы должны быть осмотрены и протестированы.

Этот процесс должен охватывать:

–        проверку прикладных процедур управления и обеспечения целостности, чтобы гарантировать, что они не скомпрометированы изменениями в операционной системе;

–         гарантию того, что уведомление об изменениях операционной системы выдано вовремя, что позволяет провести соответствующие тесты и осмотры до реализации изменений.

Средства управления должны быть применимы к безопасной разработке программного обеспечения сторонними силами.

Следующие пункты должны учитываться в случаях, когда разработка программного обеспечения выполняется сторонними силами:

–        лицензионные положения, право собственности на программу и права интеллектуальной собственности;

–        сертификация качества и правильности выполненной работы;

–        условное соглашение с третьей стороной на случай ошибки третьей стороны;

–        права доступа для проверки качества и точности выполненной работы;

–        договорные требования к качеству программы;

–         тестирование перед установкой с целью выявления зловредной программы.