ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений

Введение

 

Общая информация

В настоящее время организации сталкиваются с постоянно растущей потребностью уделять внимание защите информации на уровне приложений. Систематический подход к повышению уровня защиты приложений дает организациям основания полагать, что информация, используемая или хранимая приложениями, надежно защищена.

Все части ИСО/МЭК 27034 описывают понятия, принципы, структуры, компоненты и процессы в целях помощи организациям последовательно интегрировать средства и механизмы безопасности на протяжении жизненного цикла приложений.

Ключевыми компонентами настоящего стандарта являются меры обеспечения безопасности приложений (МОБП).

Для облегчения внедрения комплексов мер защиты приложений, а также механизмов передачи и обмена МОБП, описанных в ИСО/МЭК 27034 (все части), требуется задокументировать и объяснить минимальный набор наиболее важных атрибутов для реализации МОБП и других определенных компонентов этой структуры.

В настоящем стандарте описывается минимальный набор наиболее важных атрибутов МОБП, а также даются дополнительные сведения об эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП).

Назначение

В настоящем стандарте представлены основные сведения и требования к структуре данных МОБП. Наличие стандартизированного набора основных атрибутов информации и структуры данных МОБП имеет следующие преимущества:

a) нормализация процессов создания, передачи, защиты и верификации МОБП в соответствии с требованиями настоящего стандарта;

b) снижение затрат на безопасность в проектах приложений до минимума путем облегчения повторного использования одобренных мер обеспечения безопасности, а также получения МОБП из разных источников.

Кроме того, в настоящем стандарте определяются и подробно описываются процессы, мероприятия и должностные роли внутри эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП).

Целевая аудитория

Общая информация

Настоящий стандарт полезен для следующих групп лиц при осуществлении своих ролей в организации:

a) руководители;

b) группа нормативной структуры организации (группа НСО);

c) эксперты в предметной области;

d) поставщики;

e) приобретающие стороны.

Руководители

Руководителям необходимо ознакомиться с настоящим стандартом, поскольку в их обязанности входит:

a) обеспечение возможности повторного использования МОБП внутри организации;

b) обеспечение доступности МОБП, а также их передача и использование в проектах приложений с помощью надлежащих инструментов и процедур во всей организации.

Группа НСО

Группа НСО несет ответственность за управление, внедрение и обслуживание компонентов и процессов, связанных с безопасностью приложений, в нормативной базе организации. В обязанности группы НСО входят следующие мероприятия:

a) внедрение библиотеки МОБП;

b) утверждение МОБП, которые адекватно снижают угрозы безопасности приложений;

c) управление затратами на внедрение и сопровождение МОБП.

Эксперты в предметной области

Эксперты в предметной области обеспечивают знания, необходимые для подготовки к работе, эксплуатации и аудита приложений. В обязанности экспертов входят следующие мероприятия:

a) участие в разработке, валидации и верификации МОБП;

b) участие во внедрении и сопровождении МОБП, предлагая стратегии, компоненты и процессы внедрения для встраивания МОБП в условиях организации;

c) подтверждение пригодности и полезности МОБП для применения в прикладных проектах.

Поставщики инструментов обеспечения безопасности и МОБП

Поставщики содействуют разработке, обслуживанию и распространению инструментов и (или) МОБП. В обязанности поставщиков входят следующие мероприятия:

a) создание, проверка, обеспечение целостности (с помощью принятых методов, например, подписания), распространение и применение МОБП;

b) действия в соответствии с общим и стандартизированным протоколом (структура и формат) обмена МОБП.

Приобретатель инструментов обеспечения безопасности и МОБП

Приобретающей стороной являются физические или юридические лица, которые хотят получить МОБП. В обязанности приобретающей стороны входят следующие мероприятия:

a) интегрирование МОБП в структуре организации и обеспечение взаимодействия любых внутренних и сторонних МОБП;

b) адаптация и обеспечение целостности МОБП;

c) обеспечение соответствия задач и мероприятий, связанных с приобретенными МОБП, и жизненного цикла приложения организации.