Versions Compared

Old Version 3

changes.mady.by.user valeriia denysenko

Saved on

compared with

New Version Current

changes.mady.by.user Filip Kuzmin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Table of Contents

Загальні відомості про засіб інформатизації

...

Дублюється з 1/2го розділу ТВ/ТЗ та Додатку 1 в ТЗ

  1. найменування засобу інформатизації, його замовника та виконавця (розробника);

  2. перелік документів, на підставі та з урахуванням яких створюється (модернізується, модифікується, розвивається) засіб інформатизації, ким і коли затверджено ці документи;

  3. відомості про призначення та цілі засобу інформатизації

    ;вимоги щодо організації робіт

    ;

  4. план-графік виконання етапів із створення (модернізації, модифікації, розвитку) засобу інформатизації із зазначенням строків початку та закінчення робіт за кожним із етапів. (Додаток 1 в ТЗ)

Опис архітектури засобу інформатизації

...

  1. загальна Загальна схема архітектури засобу інформатизації;
  2. опис

    Опис функціональних систем/підсистем засобу інформатизації

    ;

  3. склад

    Склад та опис автоматизованих функцій систем/підсистем засобу інформатизації

    ;

  4. опис

    Опис інформаційних моделей

    ,

    та інтерфейсів

    та структури баз даних;

  5. Інтеграція

    інтеграція*

    засобу інформатизації в інші

    інформаційні

    системи

    або автоматизовані системи, або інформаційно-комунікаційні системи

    (внутрішні/зовнішні)

    тощо.

Технічне забезпечення:

  1. структура засобу інформатизації та призначення технічних засобів, їх опис;
  2. порядок взаємодії технічних засобів;
  3. інформаційні повідомлення, що передаються між технічними засобами.

Опис програмного забезпечення

...

  1. структура

    Структура програмного забезпечення

    ;

  2. прикладне

    Прикладне програмне забезпечення

    ;

  3. засоби

    Засоби та методи розробки програмного забезпечення

    ;

  4. операційне

    Операційне середовище

    тощо.

Опис інформаційного забезпечення засобу інформатизації

...

  1. склад

    Cклад інформаційних ресурсів

    (види даних, що обробляються; перелік основних джерел даних; формати і структури даних);
  2. організація інформаційного забезпечення (принципи, методи контролю та сумісність);
  3. структура і класифікація даних (джерела, отримувачі, опис потоків, вимоги до даних);
    4. безпека і захист інформації.

ТИПОВА СТРУКТУРА робочого проекту

Заходи з підготовки засобу інформатизації до вводу в експлуатацію:

  1. заходи щодо підготовки інформаційних баз та інтеграція даних;
  2. опис методики приймальних випробувань тощо;
  3. заходи щодо підготовки до навчання персоналу;
  4. плани попередніх випробувань, дослідної експлуатації та введення засобу інформатизації в промислову експлуатацію та інші організаційні заходи.

Робоча документація:

  1. програма і методика попередніх випробувань;
  2. програма і методика приймальних випробувань;
  3. план розробки засобів інформатизації;
  4. план впровадження засобів інформатизації;
  5. план міграції даних (інформації) (за необхідності);
  6. звіт або протокол про результати попередніх випробувань засобу інформатизації, протокол приймальних випробувань.

Додатки:

...

  2. Організація інформаційного забезпечення

  3. Структура і класифікація даних

  4. Безпека і захист інформації

Робоча документація

  1. Програма і методика приймальних випробувань

  2. План розробки засобів інформатизації

    1. План складається для кожної окремої розробки 
  3. План міграції даних
    1. Якщо розробка передбачає міграцію даних, це описується безпосередньо в ТЗ до такої трозробки

Додатки



В требования по тестированию безопасности, вдруг надо


Забезпечити тестування безпеки згідно з концепцією OWASP (Open Web Application Security Project) TOP 10:

  • Порушення контролю доступу (A01:2021-Broken Access Control): Недостатня або некоректна реалізація механізмів контролю доступу, що дозволяє зловмисникам отримувати несанкціонований доступ до функцій або ресурсів Платформи.
  • Криптографічні помилки (A02:2021-Cryptographic Failures): Помилки, повʼязані з криптографією (або її відсутністю), що можуть призвести до витоку чутливих даних.
  • Інʼєкція (A03:2021-Injection): Вразливості, повʼязані з некоректною обробкою вхідних даних, що дозволяють зловмисникам впроваджувати та виконувати небезпечні команди на сервері бази даних або виконувати віддалений код.
  • Незахищений дизайн (A04:2021-Insecure Design): Вразливості, які виникають через недостатню увагу до безпеки під час проєктування Підсистеми або програмного забезпечення. Це означає, що проєктування Підсистеми не враховує потенційні загрози безпеці і не виконує необхідні заходи для захисту від таких загроз.
  • Помилкова конфігурація безпеки (A05:2021-Security Misconfiguration): Неправильна або необережна конфігурація Підсистеми, серверів, фреймворків або додатків, яка може призвести до вразливостей та спрощеного атакування.
  • Вразливі та застарілі компоненти (A06:2021-Vulnerable and Outdated Components): Використання сторонніх компонентів, бібліотек або фреймворків з відомими вразливостями, які можуть бути використані для атак на Платформу.
  • Помилки ідентифікації та автентифікації (A07:2021-Identification and Authentication Failures): Вразливості, повʼязані з недостатньою або некоректною реалізацією механізмів ідентифікації, аутентифікації та сесійного керування, які можуть дозволити зловмисникам отримати несанкціонований доступ до облікових записів користувачів.
  • Порушення цілісності програмного забезпечення та даних (A08:2021-Software and Data Integrity Failures): Збої програмного забезпечення та цілісності даних. Використання плагінів, бібліотек або модулів з ненадійних джерел, сховищ і мереж доставки вмісту (CDN). Незахищені конвеєри CI/CD, які можуть призвести до несанкціонованого доступу, зловмисного коду або компрометації Підсистеми.
  • Помилки ведення журналів та моніторингу безпеки (A09:2021-Security Logging and Monitoring Failures): Недостатній контроль, логування та моніторинг подій, що призводить до втрати можливості виявлення атак або відновлення після вторгнення.
  • Підробка запитів на стороні сервера (A10:2021-Server-Side Request Forgery): Вразливість, яка дозволяє зловмиснику маніпулювати сервером, щоб виконати несанкціоновані запити до внутрішніх ресурсів або зовнішніх систем.



ISO/IEC 27017 и ISO/IEC 27018 вам автоматом закроет Kubernetes в инфраструктуре прозоро
https://d1.awsstatic.com/certifications/iso_27017_certification.pdf
https://d1.awsstatic.com/certifications/iso_27018_certification.pdf (edited)современные международные стандарты (конкретика для юристов на основе которой можно запросить аудит на соответствие):

  • ISO/IEC 27001 – для построения системы управления информационной безопасностью
  • ISO/IEC 27017 – для обеспечения информационной безопасности в облачных средах
  • ISO/IEC 27018 – для защиты персональных данных в облачных сервисах
  • ISO/IEC 15408 (Common Criteria) – для оценки безопасности программного обеспечения
  • NIST SP 800-53 – для реализации требований к контролю безопасности (на это тестировали прозоро в 24 году)
  • GDPR - вот честно не скажу, есть ли он в законе украины об информации и защите информации но движения были в эту сторону


https://mof.gov.ua/storage/files/National%20Revenue%20Strategy_2030_.pdf (edited)