Безопасность

...по безопасности

...по безопасности

Требования по безопасности - пункт технического задания на автоматизированную систему, разрабатываемого согласно ГОСТ 34.602. Как элемент иерархической структуры техзадания может быть представлен так: Требования к системе (разд. 4) ⇨ ...к системе в целом (подр. 4.1) ⇨ ...по безопасности (п. 4.1.5). Каким содержимым заполнять данный пункт? Редакция от 20.06.2018.

AuthorIT и Confluence - надежность и безопасность

AuthorIT и Confluence - надежность и безопасность

По не вполне понятным причинам вопросам надежности всегда отдается первенство, см. хотя бы Требования к системе в целом по ГОСТ 34.602-89, хотя автор вполне обоснованно разместил бы безопасность «над усе». Ну или «uber alles» - кому что нравится - Круглые глаза Все дело в уровне человеколюбия - В темных очках Только надежность AuthorIT и Atlassian Confluence в данном подразделе будет рассматриваться не с классической точки зрения надежности в технике, а с позиции надежности поставок и поставщика, а безопасность - не в отношении персонала, а как безопасность информационная. Редакция от 18.08.2019.

Атрибут безопасности (security attribute) по ГОСТ Р ИСО/МЭК 15408-1-2012

Атрибут безопасности (security attribute) по ГОСТ Р ИСО/МЭК 15408-1-2012

Характеристика субъектов, пользователей (включая внешние продукты ИТ (IT)), объектов, информации, сеансов и (или) ресурсов, которые используются при определении ФТБ (SFR), и значения которых используются при осуществлении ФТБ (SFR) [из п. 3.1.58 ГОСТ Р ИСО/МЭК 15408-1-2012]

Аттестация АСЗИ на соответствие требованиям безопасности информации [из подр. 5.25 ГОСТ Р 51583-2014]

Аттестация АСЗИ на соответствие требованиям безопасности информации [из подр. 5.25 ГОСТ Р 51583-2014]

В случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти, для подтверждения соответствия системы ЗИ АСЗИ в реальных условиях эксплуатации требованиям безопасности информации осуществляется аттестация АСЗИ на соответствие требованиям безопасности информации [из подр. 5.25 ГОСТ Р 51583-2014]

Аттестация АСЗИ проводится до ввода АСЗИ в постоянную эксплуатацию в соответствии с положениями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов [из подр. 5.26 ГОСТ Р 51583-2014]

Аудит информационной безопасности организации по ГОСТ Р 53114-2008

Аудит информационной безопасности организации по ГОСТ Р 53114-2008

Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации [из п. 3.5.3 ГОСТ Р 53114-2008]

Аудиторская проверка безопасности информации в информационной системе, аудит (Computer system audit) по Р 50.1.056-2005*

Аудиторская проверка безопасности информации в информационной системе, аудит (Computer system audit) по Р 50.1.056-2005*

Проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию [Р 50.1.053-2005] [из п. 3.5.5 Р 50.1.056-2005]

Аудиторская проверка безопасности информации в информационной системе, аудит (Computer system audit) по Р 50.1.056-2005*

Аудиторская проверка информационной безопасности в организации, аудит (Security audit) по Р 50.1.056-2005

Аудиторская проверка информационной безопасности в организации, аудит (Security audit) по Р 50.1.056-2005

Периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности. Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) [из п. 3.5.4 Р 50.1.056-2005]

Аудиторская проверка информационной безопасности в организации, аудит по ГОСТ Р 50922-2006

Аудиторская проверка информационной безопасности в организации, аудит по ГОСТ Р 50922-2006

Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности. Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) [из п. 2.8.6 ГОСТ Р 50922-2006]

Безопасность [из подр. 4.4 ПНСТ 277-2018]

Процессы использования и хранения персональных данных мобильным приложением должны соответствовать требованиям федерального закона [6] и принятым в соответствии с ним нормативным правовым актам. Примечание - См. источник [1] [из п. 4.4.1 ПНСТ 277-2018]

При сборе персональных данных разработчики мобильных приложений обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, согласно федеральному закону [7] в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях [из п. 4.4.2 ПНСТ 277-2018]

Мобильное приложение должно требовать абсолютный минимум разрешений для работы основной функциональности (не требовать однозначно избыточных разрешений) и объяснять пользователям, для чего требуются запрашиваемые разрешения. Осуществление доступа мобильного приложения к телефонной книге контактов пользователя возможно при соблюдении принципов и условий обработки персональных данных, т. е. при наличии правовых оснований, устанавливающих соответствующую необходимость для достижения конкретных, заранее определенных и законных целей [из п. 4.4.3 ПНСТ 277-2018]

Мобильное приложение должно иметь однозначно трактуемую политику конфиденциальности, которую необходимо разместить в приложении или дать на нее прямую ссылку в соответствии с [6]. Примечание - Также см. источники [8]-[10] [из п. 4.4.4 ПНСТ 277-2018]

Политика конфиденциальности мобильного приложения должна извещать пользователей о том, к каким личным сведениям приложение получает доступ, какие данные собираются и передаются, как они используются и хранятся, как обеспечивается их безопасность, а также кто может получить к ним доступ в соответствии с федеральным законом [6] [из п. 4.4.5 ПНСТ 277-2018]

Пользовательское соглашение, политика конфиденциальности и другие документы, с которыми должен согласиться пользователь, должны иметь сокращенную версию, в которой сформулированы существенные условия простым и доступным языком. Примечание - См. источник [8] [из п. 4.4.6 ПНСТ 277-2018]

Если приложение собирает, сохраняет или передает персональные данные, то оно должно обеспечивать безопасность этих операций с использованием современных надежных методов шифрования и обеспечивать передачу данных по защищенному каналу (например, протокол HTTPS) с использованием методов защиты от перехвата данных в канале связи (например, SSL Pinning). Примечание - См. источники [2], [8] [из п. 4.4.7 ПНСТ 277-2018]

Приложение должно информировать пользователя о сборе его персональных данных, а также предоставлять возможность отказа пользователя от сбора данных. Пользователь мобильного приложения должен иметь возможность видеть и контролировать сбор своих персональных данных компанией-разработчиком. Приложение должно иметь понятное объяснение того, как пользователи могут контролировать сбор и доступ к персональным данным, а также указывать, используется ли их информация для рекламы. Примечание - См. источник [3] [из п. 4.4.8 ПНСТ 277-2018]

Мобильное приложение должно использовать персональные данные пользователей только для оправданных целей, которые необходимы для ключевой функциональности приложения в соответствии с федеральным законом [7]. Примечание - Также см. источники [8], [9] [из п. 4.4.9 ПНСТ 277-2018]

Компания-разработчик должна ограничивать и контролировать доступ своих сотрудников к информации о пользователях и их персональных данных. Примечание - См. источник [8] [из п. 4.4.10 ПНСТ 277-2018]

Пользователь мобильного приложения должен иметь возможность удалить свои персональные данные и учетную запись с серверов компании-разработчика (если приложение предлагает процедуру регистрации) посредством функциональности, реализованной в мобильном приложении. Примечание - См. источники [8], [10] [из п. 4.4.11 ПНСТ 277-2018]

Компания-разработчик может публиковать персональные данные пользователей во внешней службе или передавать их третьей стороне через приложение или его метаданные только после получения явного согласия пользователей в соответствии с федеральным законом [6]. Примечание - Также см. источник [8] [из п. 4.4.12 ПНСТ 277-2018]

Мобильное приложение должно требовать регистрацию или авторизацию пользователя, если это необходимо для пользования приложением (например, чтобы войти под существующим аккаунтом) [из п. 4.4.13 ПНСТ 277-2018]

Мобильное приложение должно откладывать регистрацию или авторизацию пользователя настолько долго, насколько это возможно. При этом следует объяснить пользователю преимущества регистрации. У пользователя должна быть возможность использовать базовую функциональность мобильного приложения без процедуры прохождения регистрации и авторизации [из п. 4.4.14 ПНСТ 277-2018]

Мобильное приложение должно иметь опциональную возможность по установке пароля и входа по биометрическим данным, если предполагают запись и хранение каких-либо данных пользователя. Примечание - См. источник [8] [из п. 4.4.15 ПНСТ 277-2018]

Мобильное приложение должно успешно противостоять 10 основным актуальным угрозам безопасности мобильных приложений по версии организации OWASP и не иметь критических уязвимостей. Примечание - См. источники [8], [11] [из п. 4.4.16 ПНСТ 277-2018]

Мобильное приложение не должно содержать или включать вредоносное программное обеспечение, в том числе программы-трояны и шпионы, которые похищают данные, тайно записывают действия пользователя, вымогают деньги или вредят ему (пользователю) иным образом. Примечание - См. источники [2], [8], [10] [из п. 4.4.17 ПНСТ 277-2018]

Мобильное приложение должно использовать API покупки используемой платформы для продажи цифровых элементов или служб, потребляемых или используемых в приложении. Для приобретения физических товаров, услуг или благотворительных взносов мобильное приложение должно использовать безопасный сторонний API покупок. Если приложение собирает данные кредитной карты или использует стороннюю процессинговую компанию, собирающую данные карты, то обработка платежа должна выполняться в соответствии с текущими требованиями стандарта безопасности данных индустрии платежных карт (PCI DSS). Примечание - См. источник [2] [из п. 4.1.18 ПНСТ 277-2018]

Мобильное приложение должно использовать надежные, подтвержденные платформой, криптографические алгоритмы и не реализовывать собственных алгоритмов. Примечание - См. источник [11] [из п. 4.4.19 ПНСТ 277-2018]

Контент мобильного приложения должен соответствовать обозначенному возрастному рейтингу и соответствующим соглашениям, нормам, правилам и положениям законов. Примечание - См. источники [2], [10] [из п. 4.4.20 ПНСТ 277-2018]

Приложение должно осуществлять проверку на наличие административного доступа (root/jailbreak) на установленной операционной системе устройства в случае, если приложение оперирует платежными данными пользователя. При обнаружение таких прав допускается пользование приложением в условиях ограниченной функциональности (без совершения критических операций или взаимодействия с персональными данными). Примечание - См. источники [8], [9], [11] [из п. 4.4.21 ПНСТ 277-2018]

Страницы

«Техническая документация»

Связь по эл. почте admin @ tdocs . su (без пробелов), тел. +7-967-044-84-77 или в форме Контакты.

Copyright © «Техническая документация» 2008. Заимствуйте наши материалы с блеском! При воспроизведении материалов портала обязательна установка активной гиперссылки на источник — страницу с этой публикацией на tdocs.su.

Яндекс.Метрика