Загальні відомості про засіб інформатизації

Дублюється з 1/2го розділу ТВ/ТЗ та Додатку 1 в ТЗ

1. найменування засобу інформатизації, його замовника та виконавця (розробника);

2. перелік документів, на підставі та з урахуванням яких створюється (модернізується, модифікується, розвивається) засіб інформатизації, ким і коли затверджено ці документи;

3. відомості про призначення та цілі засобу інформатизації;

4. план-графік виконання етапів із створення (модернізації, модифікації, розвитку) засобу інформатизації із зазначенням строків початку та закінчення робіт за кожним із етапів. (Додаток 1 в ТЗ)

Опис архітектури засобу інформатизації

1. Загальна схема архітектури засобу інформатизації

2. Опис функціональних систем/підсистем засобу інформатизації

3. Склад та опис автоматизованих функцій систем/підсистем засобу інформатизації

4. Опис інформаційних моделей та інтерфейсів

5. Інтеграція засобу інформатизації в інші системи (внутрішні/зовнішні)

Опис програмного забезпечення

1. Структура програмного забезпечення

2. Прикладне програмне забезпечення

3. Засоби та методи розробки програмного забезпечення

4. Операційне середовище

Опис інформаційного забезпечення засобу інформатизації

1. Cклад інформаційних ресурсів

2. Організація інформаційного забезпечення

3. Структура і класифікація даних

4. Безпека і захист інформації

Робоча документація

1. Програма і методика приймальних випробувань

2. План розробки засобів інформатизації

   1. План складається для кожної окремої розробки 

3. план впровадження засобів інформатизації

   1. Встановлення та/або впровадження засобу інформатизації або його компонентів у сформованому випробувальному або промисловому середовищі.

   2. Проведення навчання фахівців замовника та/або технічного адміністратора засобу інформатизації, які забезпечують працездатність засобу інформатизації (за необхідності).   

   3. Залучення технічних ресурсів (у разі проведення в інфраструктурі технічного адміністратора та/або надавача хмарних послуг чи центру обробки даних).

4. план міграції даних (інформації) (за необхідності)

Додатки

В требования по тестированию безопасности, вдруг надо

Забезпечити тестування безпеки згідно з концепцією OWASP (Open Web Application Security Project) TOP 10:

• Порушення контролю доступу (A01:2021-Broken Access Control): Недостатня або некоректна реалізація механізмів контролю доступу, що дозволяє зловмисникам отримувати несанкціонований доступ до функцій або ресурсів Платформи.
• Криптографічні помилки (A02:2021-Cryptographic Failures): Помилки, повʼязані з криптографією (або її відсутністю), що можуть призвести до витоку чутливих даних.
• Інʼєкція (A03:2021-Injection): Вразливості, повʼязані з некоректною обробкою вхідних даних, що дозволяють зловмисникам впроваджувати та виконувати небезпечні команди на сервері бази даних або виконувати віддалений код.
• Незахищений дизайн (A04:2021-Insecure Design): Вразливості, які виникають через недостатню увагу до безпеки під час проєктування Підсистеми або програмного забезпечення. Це означає, що проєктування Підсистеми не враховує потенційні загрози безпеці і не виконує необхідні заходи для захисту від таких загроз.
• Помилкова конфігурація безпеки (A05:2021-Security Misconfiguration): Неправильна або необережна конфігурація Підсистеми, серверів, фреймворків або додатків, яка може призвести до вразливостей та спрощеного атакування.
• Вразливі та застарілі компоненти (A06:2021-Vulnerable and Outdated Components): Використання сторонніх компонентів, бібліотек або фреймворків з відомими вразливостями, які можуть бути використані для атак на Платформу.
• Помилки ідентифікації та автентифікації (A07:2021-Identification and Authentication Failures): Вразливості, повʼязані з недостатньою або некоректною реалізацією механізмів ідентифікації, аутентифікації та сесійного керування, які можуть дозволити зловмисникам отримати несанкціонований доступ до облікових записів користувачів.
• Порушення цілісності програмного забезпечення та даних (A08:2021-Software and Data Integrity Failures): Збої програмного забезпечення та цілісності даних. Використання плагінів, бібліотек або модулів з ненадійних джерел, сховищ і мереж доставки вмісту (CDN). Незахищені конвеєри CI/CD, які можуть призвести до несанкціонованого доступу, зловмисного коду або компрометації Підсистеми.
• Помилки ведення журналів та моніторингу безпеки (A09:2021-Security Logging and Monitoring Failures): Недостатній контроль, логування та моніторинг подій, що призводить до втрати можливості виявлення атак або відновлення після вторгнення.
• Підробка запитів на стороні сервера (A10:2021-Server-Side Request Forgery): Вразливість, яка дозволяє зловмиснику маніпулювати сервером, щоб виконати несанкціоновані запити до внутрішніх ресурсів або зовнішніх систем.

ISO/IEC 27017 и ISO/IEC 27018 вам автоматом закроет Kubernetes в инфраструктуре прозоро
https://d1.awsstatic.com/certifications/iso_27017_certification.pdf
https://d1.awsstatic.com/certifications/iso_27018_certification.pdf (edited)современные международные стандарты (конкретика для юристов на основе которой можно запросить аудит на соответствие):

• ISO/IEC 27001 – для построения системы управления информационной безопасностью
• ISO/IEC 27017 – для обеспечения информационной безопасности в облачных средах
• ISO/IEC 27018 – для защиты персональных данных в облачных сервисах
• ISO/IEC 15408 (Common Criteria) – для оценки безопасности программного обеспечения
• NIST SP 800-53 – для реализации требований к контролю безопасности (на это тестировали прозоро в 24 году)
• GDPR - вот честно не скажу, есть ли он в законе украины об информации и защите информации но движения были в эту сторону

https://mof.gov.ua/storage/files/National%20Revenue%20Strategy_2030_.pdf (edited)