Versions Compared

Old Version 9

changes.mady.by.user valeriia denysenko

Saved on

compared with

New Version Current

changes.mady.by.user Filip Kuzmin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Table of Contents

Загальні відомості про засіб інформатизації

...

...

Дублюється з 1/2го розділу ТВ/ТЗ та Додатку 1 в ТЗ

  1. найменування засобу інформатизації, його замовника та виконавця (розробника);

  2. перелік документів, на підставі та з урахуванням яких створюється (модернізується, модифікується, розвивається) засіб інформатизації, ким і коли затверджено ці документи;

  3. відомості про призначення та цілі засобу інформатизації;

  4. вимоги щодо організації робіт; - Видаляємо. Не відноситься до нашого продукту

  5. план-графік виконання етапів із створення (модернізації, модифікації, розвитку) засобу інформатизації із зазначенням строків початку та закінчення робіт за кожним із етапів. (Додаток 1 в ТЗ)

Опис архітектури засобу інформатизації

...

  1. загальна Загальна схема архітектури засобу інформатизації;
  2. опис

    Опис функціональних систем/підсистем засобу інформатизації

    ;

  3. склад

    Склад та опис автоматизованих функцій систем/підсистем засобу інформатизації

    ;

  4. опис

    Опис інформаційних моделей

    ,

    та інтерфейсів

    та структури баз даних;

  5. Інтеграція

    інтеграція*

    засобу інформатизації в інші

    інформаційні

    системи

    або автоматизовані системи, або інформаційно-комунікаційні системи

    (внутрішні/зовнішні)

    тощо.

Технічне забезпечення: - Видаляємо. Не відноситься до нашого продукту

  1. структура засобу інформатизації та призначення технічних засобів, їх опис;

  2. порядок взаємодії технічних засобів;

  3. інформаційні повідомлення, що передаються між технічними засобами.

Опис програмного забезпечення

...

  1. структура

    Структура програмного забезпечення

    ;

  2. прикладне

    Прикладне програмне забезпечення

    ;

  3. засоби

    Засоби та методи розробки програмного забезпечення

    ;

  4. операційне

    Операційне середовище

    тощо.

Опис інформаційного забезпечення засобу інформатизації

...

  1. склад

    Cклад інформаційних ресурсів

    (види даних, що обробляються; перелік основних джерел даних; формати і структури даних);

  2. організація інформаційного забезпечення (принципи, методи контролю та сумісність);

  3. структура і класифікація даних (джерела, отримувачі, опис потоків, вимоги до даних);

  4. безпека і захист інформації.

ТИПОВА СТРУКТУРА робочого проекту

Заходи з підготовки засобу інформатизації до вводу в експлуатацію:

  1. заходи щодо підготовки інформаційних баз та інтеграція даних;

  2. опис методики приймальних випробувань тощо;

    1. Перелік необхідних випробувань.

    2. Опис методів проведення випробувань.

    3. Критерії оцінки результатів випробувань.

    4. Вимоги до оформлення результатів випробувань.

  3. заходи щодо підготовки до навчання персоналу:

    1. Визначення цільової аудиторії навчання (категорії користувачів, ролі).

    2. Розробку навчальних програм та планів, що охоплюють всі необхідні аспекти використання та адміністрування засобу інформатизації.

    3. Підготовку навчальних матеріалів (інструкції, посібники користувача, презентації, відеоуроки тощо).

    4. Вибір методів навчання (очне, дистанційне, змішане).

    5. Організацію навчального середовища (навчальні класи, обладнання, програмне забезпечення для навчання).

    6. Проведення навчання та оцінку його ефективності (тестування, опитування, практичні завдання).

    7. Розробку плану подальшої підтримки та оновлення знань користувачів.

  4. плани попередніх випробувань, дослідної експлуатації та введення засобу інформатизації в промислову експлуатацію та інші організаційні заходи. - Видаляємо. Не відноситься до нашого продукту

Робоча документація:

  1. програма і методика попередніх випробувань; - Видаляємо. Не відноситься до нашого продукту

  2. програма і методика приймальних випробувань:

    1. Оцінювання відповідності встановленого та/або впровадженого засобу інформатизації або його компонентів вимогам технічного завдання, рівня працездатності.  

    2. Оцінювання відповідності засобу інформатизації або його компонентів вимогам до сфери використання (вимогам до умов експлуатації) відповідно до законодавства у сфері захисту інформації

  3. план розробки засобів інформатизації

    1. Перелік етапів розробки: Детальний розбиття процесу розробки на конкретні етапи (аналіз вимог, проектування, кодування, тестування, інтеграція тощо).

    2. Опис робіт для кожного етапу: Конкретні завдання та дії, які необхідно виконати на кожному етапі.

    3. Терміни виконання етапів: Календарний план з зазначенням тривалості кожного етапу та дат початку/завершення.

    4. Розподіл ресурсів: Інформація про необхідні ресурси (людські, технічні, фінансові) для кожного етапу.

    5. Методологія розробки: Опис підходів та методів, які будуть використовуватись в процесі розробки (наприклад, Agile, Waterfall).

    6. Критерії завершення етапів: Чіткі визначення того, що має бути досягнуто на кожному етапі, щоб вважати його завершеним.

    7. Управління змінами: Процедури обробки змін до вимог або плану в процесі розробки.

  4. план впровадження засобів інформатизації

    1. Встановлення та/або впровадження засобу інформатизації або його компонентів у сформованому випробувальному або промисловому середовищі.

    2. Проведення навчання фахівців замовника та/або технічного адміністратора засобу інформатизації, які забезпечують працездатність засобу інформатизації (за необхідності).   

    3. Залучення технічних ресурсів (у разі проведення в інфраструктурі технічного адміністратора та/або надавача хмарних послуг чи центру обробки даних).

  5. план міграції даних (інформації) (за необхідності);

  6. звіт або протокол про результати попередніх випробувань засобу інформатизації, протокол приймальних випробувань. - Видаляємо. Не відноситься до нашого продукту

Додатки: - Видаляємо. Не відноситься до нашого продукту

...

  2. Організація інформаційного забезпечення

  3. Структура і класифікація даних

  4. Безпека і захист інформації

Робоча документація

  1. Програма і методика приймальних випробувань

  2. План розробки засобів інформатизації

    1. План складається для кожної окремої розробки 
  3. План міграції даних
    1. Якщо розробка передбачає міграцію даних, це описується безпосередньо в ТЗ до такої трозробки

Додатки



В требования по тестированию безопасности, вдруг надо


Забезпечити тестування безпеки згідно з концепцією OWASP (Open Web Application Security Project) TOP 10:

  • Порушення контролю доступу (A01:2021-Broken Access Control): Недостатня або некоректна реалізація механізмів контролю доступу, що дозволяє зловмисникам отримувати несанкціонований доступ до функцій або ресурсів Платформи.
  • Криптографічні помилки (A02:2021-Cryptographic Failures): Помилки, повʼязані з криптографією (або її відсутністю), що можуть призвести до витоку чутливих даних.
  • Інʼєкція (A03:2021-Injection): Вразливості, повʼязані з некоректною обробкою вхідних даних, що дозволяють зловмисникам впроваджувати та виконувати небезпечні команди на сервері бази даних або виконувати віддалений код.
  • Незахищений дизайн (A04:2021-Insecure Design): Вразливості, які виникають через недостатню увагу до безпеки під час проєктування Підсистеми або програмного забезпечення. Це означає, що проєктування Підсистеми не враховує потенційні загрози безпеці і не виконує необхідні заходи для захисту від таких загроз.
  • Помилкова конфігурація безпеки (A05:2021-Security Misconfiguration): Неправильна або необережна конфігурація Підсистеми, серверів, фреймворків або додатків, яка може призвести до вразливостей та спрощеного атакування.
  • Вразливі та застарілі компоненти (A06:2021-Vulnerable and Outdated Components): Використання сторонніх компонентів, бібліотек або фреймворків з відомими вразливостями, які можуть бути використані для атак на Платформу.
  • Помилки ідентифікації та автентифікації (A07:2021-Identification and Authentication Failures): Вразливості, повʼязані з недостатньою або некоректною реалізацією механізмів ідентифікації, аутентифікації та сесійного керування, які можуть дозволити зловмисникам отримати несанкціонований доступ до облікових записів користувачів.
  • Порушення цілісності програмного забезпечення та даних (A08:2021-Software and Data Integrity Failures): Збої програмного забезпечення та цілісності даних. Використання плагінів, бібліотек або модулів з ненадійних джерел, сховищ і мереж доставки вмісту (CDN). Незахищені конвеєри CI/CD, які можуть призвести до несанкціонованого доступу, зловмисного коду або компрометації Підсистеми.
  • Помилки ведення журналів та моніторингу безпеки (A09:2021-Security Logging and Monitoring Failures): Недостатній контроль, логування та моніторинг подій, що призводить до втрати можливості виявлення атак або відновлення після вторгнення.
  • Підробка запитів на стороні сервера (A10:2021-Server-Side Request Forgery): Вразливість, яка дозволяє зловмиснику маніпулювати сервером, щоб виконати несанкціоновані запити до внутрішніх ресурсів або зовнішніх систем.



ISO/IEC 27017 и ISO/IEC 27018 вам автоматом закроет Kubernetes в инфраструктуре прозоро
https://d1.awsstatic.com/certifications/iso_27017_certification.pdf
https://d1.awsstatic.com/certifications/iso_27018_certification.pdf (edited)современные международные стандарты (конкретика для юристов на основе которой можно запросить аудит на соответствие):

  • ISO/IEC 27001 – для построения системы управления информационной безопасностью
  • ISO/IEC 27017 – для обеспечения информационной безопасности в облачных средах
  • ISO/IEC 27018 – для защиты персональных данных в облачных сервисах
  • ISO/IEC 15408 (Common Criteria) – для оценки безопасности программного обеспечения
  • NIST SP 800-53 – для реализации требований к контролю безопасности (на это тестировали прозоро в 24 году)
  • GDPR - вот честно не скажу, есть ли он в законе украины об информации и защите информации но движения были в эту сторону


https://mof.gov.ua/storage/files/National%20Revenue%20Strategy_2030_.pdf (edited)