Приказ Федерального агентства по техническому регулированию и метрологии от 07.06.2024 № 741-ст «Об утверждении национального стандарта Российской Федерации ГОСТ Р 71303-2024 “Системная и программная инженерия. Возможности программных инструментариев для организационного управления инцидентами. Общие положения”»
Ссылки
- Электронный фонд нормативно-технической и нормативно-правовой информации Консорциума «Кодекс»
- Официальный текст на сайте в формате постраничного просмотра
- Сохранённый текст в формате PDF
- Гарант
Справка
Национальный стандарт ГОСТ Р 71303-2024 «Системная и программная инженерия. Возможности программных инструментариев для организационного управления инцидентами. Общие положения» содержит обзор функций программного обеспечения, применяемого для управления инцидентами.
В стандарте определены два типа объектов, которые являются входными данными для обеспечения работы программного обеспечения в целях управления инцидентами, – информация о самом инциденте (например, идентификатор, дата возникновения и др.) и информация о взаимосвязи между инцидентом и артефактом, в котором обнаружена уязвимость (например, спецификация требований, исходный код и др.).
Основными функциями программного обеспечения является обеспечение возможности:
- управления инцидентами (включает регистрацию инцидента, формирование отчета о выявлении инцидента и его характеристику);
- администрирования (включает разнообразие настроек в соответствии с целевой средой функционирования).
В качестве отдельных требований по ЗИ в разделе 4 «Объектная модель для программных инструментариев» (п. 4.2.2.2 «Сценарий управления дефектами в процессе тестирования») приведена функциональная блок-схема управления инцидентами, выявляемыми в ходе тестирования программного обеспечения автоматизированных систем.
Ответственными исполнителями в ходе выявления уязвимости и ее устранения при управлении инцидентами определены:
- тестировщик (проводит тестовые испытания и при выявлении уязвимости формирует ее тестовый образец; проводит повторное тестирование исправленного исходного кода программного обеспечения в целях подтверждения устранения уязвимости);
- технический менеджер (утверждает тестовый образец уязвимости и поручает исправление данной уязвимости в коде программного обеспечения разработчику; подтверждает устранение уязвимости);
- разработчик (определяет причину возникновения уязвимости, указанной техническим менеджером, исправляет ее).
Кроме того, в п. 4.2.2.2 указано, что рекомендации данного структурного элемента применяются совместно с требованиями национального стандарта ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» в части проведения тестирования программного обеспечения.
Стандарт предназначен для использования организациями, участвующими в создании (модернизации, развитии), эксплуатации и сопровождении программных средств, обеспечивающих поддержку организационного управления инцидентами.
Стандарт разработан с учетом основных нормативных положений международного стандарта ISO/IEC 23531:2020 «Системная и программная инженерия – Возможности инструментов управления инцидентами» («Systems and software engineering – Capabilities of issue management tools»).
Национальный стандарт ГОСТ Р 71303-2024 разработан Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ), внесен техническим комитетом по стандартизации «Информационные технологии» (ТК 22) и утвержден приказом руководителя Росстандарта № 741-ст от 7 июня 2024 г. Дата введение в действие 30 сентября 2024 г.
Источник: ТК 362: Сведения о принятых национальных и международных стандартах за III квартал 2024 года
Обзоры документа
Аналитический центр УЦСБ
Стандарты, принятые в 3 квартале 2024 года
На официальном сайте ФСТЭК России опубликованы Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
С июля по сентябрь 2024 года стандарты в области защиты информации не утверждались, однако, на официальном сайте Федерального агентства по техническому регулированию и метрологии (далее – Росстандарт) были официально опубликованы стандарты, утвержденные в июне 2024 года:
- ГОСТ Р 71303-2024 «Системная и программная инженерия. Возможности программных инструментариев для организационного управления инцидентами. Общие положения», разработанный на основе положений международного стандарта ISO/IEC 23531:2020 «Системная и программная инженерия. Возможности инструментов управления инцидентами» («Systems and software engineering – Capabilities of issue management tools»);
- ГОСТ Р 71440-2024 «Информационные технологии. Оценка процессов. Руководство по определению рисков в процессах», разработанный на основе международного документа ISO/IEC TR 33015:2019 «Информационные технологии. Оценка процессов. Руководство по определению риска в процессах» («Information technology – Process assessment – Guidance for process risk determination»);
- ГОСТ Р 71452-2024 «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», разработанный на основе положений международного документа IEC/PAS 63325:2020 «Требования жизненного цикла функциональной безопасности и защиты для IACS» («Lifecycle requirements for functional safety and security for IACS»).
Текст документа
Быстрый просмотр сохранённой копии