M2.3 Применяются (применялись) ли на стадии разработки АБС разработчиками меры для защиты от угроз ИБ:
- принятия неверных проектных решений;
- внесения дефектов на уровне архитектурных решений;
- внесения недокументированных возможностей в АБС;
- неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС;
- угрозы разработки некачественной документации;
- сборки АБС разработчиком/производителем с нарушением требований;
- неверного конфигурирования АБС;
- приемки АБС, не отвечающей требованиям заказчика;
- внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ?
M2.6 Обеспечивают ли на стадии эксплуатации применяемые меры и средства обеспечения ИБ защиту от угроз
- несанкционированного раскрытия,
- модификации или уничтожения информации,
- недоставки или ошибочной доставки информации,
- отказа в обслуживании или ухудшения обслуживания,
|
|
- отказа от авторства сообщений?
M2.8 Применяются ли на стадии сопровождения меры
для защиты от угрозы внесения изменений в АБС, приводящих к нарушению функциональности АБС либо к появлению недокументированных возможностей,
а также для защиты от угрозы невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и состояния АБС?
M2.9 Применяются ли на стадии снятия с эксплуатации меры для защиты от угроз ненадежного удаления информации, несанкционированное использование которой может нанести ущерб бизнес–деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей?
Как видно, какие-то угрозы АБС перечислены для каждой стадии жизненного цикла. То, что это не полный список угроз, следует из приводимых мер и средств защиты (защитных мер).