КиберОценка

A.14.1: Требования безопасности информационных систем

Обеспечение безопасности как неотъемлемой части информационных систем

Подробное описание

Контроль A.14.1 требует интеграции требований информационной безопасности на всех этапах жизненного цикла информационных систем — от проектирования до вывода из эксплуатации. Безопасность должна закладываться в архитектуру систем как базовый принцип (Security by Design), а не добавляться как надстройка после завершения разработки. Это включает определение функциональных и нефункциональных требований безопасности, их приоритизацию, документирование и валидацию на каждом этапе разработки и модернизации систем.

Практические шаги внедрения

  1. 1

    Разработать методологию анализа рисков для новых и модернизируемых информационных систем с обязательным выявлением требований безопасности на стадии технического задания

  2. 2

    Внедрить процедуру согласования архитектурных решений с отделом информационной безопасности до начала разработки или закупки системы

  3. 3

    Создать каталог базовых требований безопасности (аутентификация, шифрование, логирование, резервное копирование) для всех классов информационных систем организации

  4. 4

    Включить требования безопасности в техническое задание, договоры с подрядчиками и acceptance-критерии при приёмке системы в эксплуатацию

  5. 5

    Организовать этап Security Review после завершения разработки и до промышленного развёртывания: анализ кода, пентест, проверку соответствия требованиям

  6. 6

    Установить процедуру актуализации требований безопасности при изменениях в системе (патчи, новый функционал, интеграции)

  7. 7

    Обеспечить документирование принятых архитектурных решений по безопасности и создание модели угроз для критически важных систем

Типичные нарушения

  • Закупка коммерческого ПО или облачных сервисов без предварительного анализа требований безопасности и согласования с ИБ-службой

  • Отсутствие формализованных требований к логированию, что приводит к невозможности расследования инцидентов в производственных системах

  • Разработка или внедрение систем обработки персональных данных без встроенного шифрования и механизмов контроля доступа

  • Миграция legacy-систем в облако без пересмотра требований безопасности и адаптации под новую модель угроз

  • Отсутствие процедуры security acceptance testing — системы вводятся в эксплуатацию без проверки выполнения требований безопасности

Почему это важно

Ретроспективное добавление средств защиты в действующую систему обходится в 10-100 раз дороже, чем их проектирование на этапе архитектуры. Отсутствие встроенных требований безопасности приводит к архитектурным уязвимостям, которые невозможно устранить без полной переработки системы. Для организаций, подлежащих аудиту по ISO 27001 или обрабатывающих персональные данные, несоблюдение этого контроля создаёт риск регуляторных санкций и остановки проектов внедрения критически важных систем.

Проверяемые категории

Security HeadersAPI Security

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности