Вопрос 39: Рекомендация
ITU-T X.1051. Разр. и тех. обсл.
сист.: безоп. процессов разраб. и поддержки
Цель: поддержка
безопасности программного обеспечения и информации прикладной системы.
Реализация изменений должна строго контролироваться
пользователем формальной процедуры контроля изменений.
Формальные процедуры контроля изменений в системах электросвязи должны быть строго задокументированы и введены в действие, чтобы минимизировать порчу информационных систем.
Введение новых систем и большие изменения в существующих системах должны сопровождаться формальными процессами документирования, спецификации, тестирования, контроля качества, а также управляемой реализацией.
Этот процесс должен охватывать определение риска, анализ влияний изменений и спецификацию необходимых средств управления безопасностью.
Этот процесс должен содержать:
– необходимые изменения, представленные уполномоченными пользователями;
– проверку средств контроля процедур обеспечения целостности, чтобы убедиться, что они не скомпрометированы этими изменениями;
– выявление всего компьютерного программного обеспечения, информации, объектов баз данных и аппаратных средств, требующих изменения;
– получение формального одобрения детализированных предложений до начала работы;
– гарантию того, что уполномоченный пользователь согласился с изменениями до их реализации;
– гарантию того, что набор системной документации обновляется после завершения каждого изменения и что старая документация архивируется или уничтожается;
– поддержание контроля номера версии при всех обновлениях программного обеспечения;
– поддержание контрольного журнала всех запросов на изменение;
–
гарантию того, что изменения реализуются в
нужное время и не мешают затронутым процессам бизнеса электросвязи.
После изменений прикладные системы должны быть осмотрены и
протестированы.
Этот процесс должен охватывать:
– проверку прикладных процедур управления и обеспечения целостности, чтобы гарантировать, что они не скомпрометированы изменениями в операционной системе;
–
гарантию того, что уведомление об изменениях
операционной системы выдано вовремя, что позволяет провести соответствующие
тесты и осмотры до реализации изменений.
Средства управления должны быть применимы к безопасной
разработке программного обеспечения сторонними силами.
Следующие пункты должны учитываться в случаях, когда разработка программного обеспечения выполняется сторонними силами:
– лицензионные положения, право собственности на программу и права интеллектуальной собственности;
– сертификация качества и правильности выполненной работы;
– условное соглашение с третьей стороной на случай ошибки третьей стороны;
– права доступа для проверки качества и точности выполненной работы;
– договорные требования к качеству программы;
–
тестирование перед установкой с целью выявления
зловредной программы.