ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений

5.2 Информационные требования к МОБП

5.2.1 Общие сведения

Подраздел 5.2 определяет рекомендованные информационные требования к отдельным мерам и средствам контроля и управления безопасностью приложения. Конкретная реализация настоящего стандарта в формате XML-схемы приведена в ИСО/МЭК 27034-5-1.

Следует отметить, что настоящий стандарт не определяет, как идентифицируются или управляются различные информационные элементы МОБП. Подробная информация о последних приведена в описании процессов управления и аудита в ИСО/МЭК 27034-2, ИСО/МЭК 27034-3 и ИСО/МЭК 27034-4.

Примечание - Четкое указание на иерархию наследования в настоящий момент не реализовано в структуре МОБП, но может быть внедрено в будущих версиях.

 

Основные разделы информации МОБП показаны на рисунке 1.

 

 

Рисунок 1 - Основные разделы информации МОБП

 

Как определено в 8.1.2.6.5 ИСО/МЭК 27034-1:2011 и показано на рисунке 1, каждое описание МОБП должно содержать следующие разделы:

a) идентификация МОБП (О): этот раздел должен содержать следующую информацию:

1) идентификационную информацию об МОБП (идентификатор, имя и т.д.),

2) высокоуровневое описание области и цели применения МОБП,

3) информацию о текущей версии, в том числе дату создания, текущий этап жизненного цикла, примечания о внесенных изменениях и идентификационную информацию об авторе и владельце,

4) ссылки на МОБП, находящиеся выше и ниже по иерархии;

b) цель применения МОБП (О): этот раздел должен содержать следующую информацию:

1) детальное описание целей применения МОБП для обеспечения безопасности,

2) указание на одно или несколько требований по обеспечению защиты, которые обосновывают необходимость МОБП, а также информацию о контексте и функциях приложения, для которых необходима защита,

3) описание одного или нескольких уровней доверия, для которых МОБП является обязательным, вместе с описанием диапазона уровня доверия,

4) предварительные условия и критерии для применения МОБП, в частности:

i) список предварительных условий;

ii) список предполагаемых угроз безопасности (неформальный);

iii) описание среды эксплуатации (контекста использования);

c) мероприятия по обеспечению безопасности, связанные с применением МОБП (О): этот раздел должен содержать информацию, касающуюся мероприятий по обеспечению безопасности, связанных с МОБП:

1) высокоуровневое описание мероприятия по обеспечению безопасности (что),

2) описание актива, защищаемого (целевого) с помощью мероприятия (где),

3) определение ролей (и требуемой квалификации) сотрудников, вовлеченных в выполнение задач и действий в рамках мероприятия (кто),

4) указание сложности и стоимости мероприятий по обеспечению безопасности (сколько),

5) детальное описание задач и действий в рамках мероприятия по обеспечению безопасности, ожидаемые результаты и предварительные условия (как),

6) указание того, когда (согласно эталонной модели жизненного цикла безопасности приложения) должны быть выполнены задачи и действия в рамках мероприятия по обеспечению безопасности (когда);

d) верификационные измерения, связанные с МОБП (О): этот раздел должен содержать информацию, касающуюся верификационных измерений, связанных с МОБП:

1) высокоуровневое описание верификационных измерений (что),

2) описание актива, в отношении которого проводятся верификационные измерения (где),

3) определение ролей (и требуемой квалификации) сотрудников, вовлеченных в верификационные измерения в рамках мероприятия (кто),

4) указание сложности и стоимости верификационных измерений (сколько),

5) детальное описание задач и действий в рамках мероприятия по верификации, ожидаемые результаты и предварительные условия (как),

6) указание того, когда (согласно эталонной модели жизненного цикла безопасности приложения) должны быть выполнены задачи и действия в рамках мероприятия по верификации (когда).

Пункт 5.2.4 содержит дополнительные сведения о каждом требовании к информации.

5.2.2 Обеспечение целостности

Для обеспечения целостности содержимого МОБП, необходимо использовать механизм подписей (или аналогичный принятый метод). Меры и средства контроля и управления безопасностью приложений должны поддерживать каскадные и множественные электронные подписи, а также временные отметки.

5.2.3 Представление данных на нескольких языках или для нескольких регионов

В целях обеспечения распространения МОБП по всему миру, их структура данных должна поддерживать локализацию текста и описание различных информационных элементов, процессов или информационно-коммуникационных технологий на разных языках.

5.2.4 Требования к информации, связанной с МОБП

5.2.4.1 Идентификация (О)

На рисунке 2 показан раздел идентификации МОБП.

 

 

Рисунок 2 - Раздел идентификации МОБП

 

Как показано на рисунке 2, описание МОБП должно содержать следующие сведения:

a) идентифицирующая информация об МОБП, в том числе:

1) уникальный идентификатор (О): уникальный идентификатор внутри схемы,

2) имя (О): соответствующее имя;

b) описание (О): высокоуровневое описание целей и области применения МОБП;

c) версия (О): информация, описывающая версию МОБП, в том числе:

1) номер (О): текущий номер версии МОБП в допустимых числах (например, 0.1.1 или 1.2),

2) дата (О): дата создания текущей версии МОБП,

3) стадия жизненного цикла (О): текущая стадия жизненного цикла МОБП. Допустимы следующие значения стадии жизненного цикла:

i) запрос на создание;

ii) проектирование;

iii) анализ и валидация проекта;

iv) разработка;

v) верификация;

vi) утверждение;

vii) окончательное утверждение владельцами;

viii) публикация для обучения;

ix) активно;

x) срок действия истек;

xi) собственное значение;

4) указание степени зрелости (Н): указание уровня готовности этой версии,

5) записи об изменениях (Н): описание того, как изменились МОБП по сравнению с предыдущей версией;

d) автор (Н): авторы текущей версии МОБП и указание их принадлежности, в том числе имена и контактная информация;

e) владелец (Н): владельцы текущей версии МОБП и указание их принадлежности, в том числе имена и контактная информация;

f) взаимосвязи между подчиненными и подчиняющими МОБП определяются, как показано на рисунке 3:

1) подчиненность (О): ссылки на отсутствующие, один или несколько уникальных идентификационных номеров подчиненных МОБП с целью указать, что выполнение мероприятий, связанных со всеми подчиненными (дочерними) МОБП (в определенном порядке) является необходимым условием для завершения мероприятий, связанных с подчиняющими МОБП. Допускается включать краткое описание МОБП, на которые указывают ссылки,

2) подчинение (О): ссылка на отсутствующие, один или несколько уникальных идентификационных номеров подчиняющих МОБП с целью указать материнские МОБП. Допускается включать краткое описание материнских МОБП, на которые указывают ссылки.

 

 

Рисунок 3 - Взаимосвязи между МОБП

 

5.2.4.2 Цели

Раздел с описанием целей МОБП показан на рисунке 4.

 

 

Рисунок 4 - Раздел с описанием целей МОБП

 

Как показано на рисунке 4, описание МОБП должно содержать следующие сведения, касающиеся целей по обеспечению безопасности:

a) описание (О): детальное описание целей и задач по обеспечению безопасности, решаемых МОБП;

b) удовлетворяемые требования к безопасности (О): непустой набор требований, удовлетворяемых с помощью выполнения мероприятий по обеспечению безопасности, связанных с МОБП (см. рисунок 5). Для каждого требования необходимо собрать следующую информацию:

 

 

Рисунок 5 - Раздел с описанием требований по обеспечению

безопасности, связанных с МОБП

 

1) контекст (Н): определяет контекст (источник), исходя из которого возникли требования. Допустимы следующие значения типа контекста:

i) нормативные документы;

ii) бизнес-контекст;

iii) технологический контекст;

iv) функциональность приложения;

v) собственное значение;

2) тип (Н): тип требований по обеспечению безопасности. Допустимы следующие значения:

i) требования бизнеса;

ii) правила бизнеса;

iii) требования нормативных документов;

iv) пользовательские требования;

v) требования к квалификации действующих субъектов;

vi) атрибуты качества;

vii) системные требования;

viii) требования к процессу;

ix) функциональные требования;

x) внешние интерфейсы;

xi) требования к инфраструктуре;

xii) ограничения;

xiii) собственное значение;

3) имя (О): соответствующее имя для требования,

4) описание (О): качественное описание для требования,

5) источник (Н): исходный документ, являющийся источником требования;

c) присвоенные уровни доверия (О): список одного или нескольких уровней доверия, для которых МОБП являются обязательными. Чтобы описание МОБП содержало всю информацию, необходимо добавить к ней сведения о диапазоне уровней доверия, которые описывают соответствующие уровни доверия и показывают преимущества каждого из них;

d) условие (Н): описание предварительных условий, предположений и контекста использования для применения МОБП, как показано на рисунке 6:

 

 

Рисунок 6 - Раздел с описанием условий, связанных с МОБП

 

1) тип условия (Н): тип условия. Допустимы следующие значения:

i) предварительное условие;

ii) предположение;

iii) описание среды эксплуатации;

iv) собственное значение;

2) описание (О): может включать следующие сведения:

i) список предварительных условий для использования МОБП;

ii) список (неофициальный) предполагаемых угроз безопасности, которые можно смягчить с помощью МОБП;

iii) описание среды эксплуатации (контекста использования);

e) диапазон уровней доверия (Н) (см. рисунок 7):

 

 

Рисунок 7 - Секция с описанием диапазона

уровней доверия, связанная с МОБП

 

Когда существует диапазон уровней доверия, связанный с МОБП, следующая информация, как показано на рисунке 7, должна описывать каждый уровень доверия, включенный в диапазон:

1) уникальный идентификационный номер уровня доверия (О): уникальный идентификационный номер в схеме для этого уровня доверия,

2) имя (О): имя уровня доверия,

3) обозначение (О): обозначение, представляющее этот уровень доверия,

4) описание (О): краткое описание уровня доверия с целью помочь приобретателю или получателю интегрировать этот МОБП на нужном уровне библиотеки МОБП приобретателя;

f) указатель возможности прогнозирования (Н): определяет, допускается ли прогнозирование для МОБП. То есть необходимо ли будет подтверждать корректное функционирование МОБП повторно, если контекст эксплуатации изменится в незначительной степени. Более подробная информация приведена в ИСО/МЭК 27034-7.

5.2.4.3 Мероприятие по обеспечению безопасности и верификационное измерение

Описание МОБП должно содержать сведения об одном мероприятии по обеспечению безопасности и связанном с ним верификационном измерении. Мероприятие по обеспечению безопасности определяет набор задач и действий, которое необходимо выполнить, чтобы удовлетворить требованиям безопасности, связанным с МОБП. Верификационное измерение определяет задачи и действия, которые необходимо осуществить, чтобы убедиться, что требования безопасности, связанные с МОБП, удовлетворены (см. рисунок 8).

 

 

Рисунок 8 - Разделы, описывающие мероприятие по обеспечению

безопасности и верификационное измерение, связанное с МОБП

 

Как показано на рисунке 8, описание МОБП должно содержать следующую информацию, касающуюся мероприятия по обеспечению безопасности и верификационного измерения:

a) краткое содержание (О): краткое описание данного мероприятия. При этом должна присутствовать следующая информация:

1) имя (О): название мероприятия,

2) описание (О): неофициальное описание масштаба мероприятия, в том числе охвата и планируемого результата,

3) информация о цели (О): указатель на масштаб мероприятия. Определяет, какая группа информационных элементов находится под защитой или верифицируется с помощью мероприятия в результате применения МОБП в отношении людей, процессов или информационно-коммуникационных технологий, взаимодействующих с этими информационными элементами. Чтобы связанное с МОБП мероприятие было действенным и полезным, необходимо, чтобы по крайней мере один информационный элемент был под защитой или верифицировался МОБП. Для каждого информационного элемента предусмотрены следующие сведения:

i) имя (О): соответствующее имя для информационного элемента, процессов или ИКТ;

ii) тип информационной группы (О): связывает один или несколько типов с информационным элементом, процессами или ИКТ. Допустимы следующие значения:

I) законы и нормы;

II) директивы и нормы, связанные с организацией или направлением бизнеса;

III) процессы жизненного цикла приложения;

IV) определение процесса приложения;

V) спецификация;

VI) данные приложения;

VII) организация и данные пользователя;

VIII) описание полномочий для разных ролей;

IX) определение технологического контекста;

X) собственное значение;

iii) описание (О): описание информационного элемента, процессов или ИКТ;

iv) классификация информации (Н): указание того, насколько чувствительным (применительно к конфиденциальности, целостности и доступности) является информационный элемент;

v) владелец информации (Н): указывает на владельца информационного элемента;

4) описание результата (О): описание ожидаемого результата мероприятия,

5) дополнительные экспертные ресурсы (Н): ссылки на дополнительные (экспертные) ресурсы, призванные облегчить выполнение мероприятия;

b) сложность мероприятия (О): указание сложности мероприятия с применением качественных и количественных измерений.

Примечание - Атрибут, указывающий на сложность мероприятия, является обязательным (О), если существует атрибут спецификация мероприятия.

 

c) при этом должна присутствовать следующая информация:

1) обозначение (О): обозначение, указывающее на сложность. Допустимы следующие значения сложности:

i) низкая;

ii) средняя;

iii) высокая;

iv) чрезвычайно высокая;

v) собственное значение;

2) описание (О): описание сложности,

3) общие сметные расходы (Н): прогнозируемая (в денежном исчислении) стоимость мероприятия,

4) общие показатели требуемых усилий (Н): объем усилий, необходимый для проведения мероприятия (например, дни/число сотрудников),

5) предполагаемое время (Н): время, необходимое для осуществления мероприятия,

6) примечание (Н): дополнительная информация о сложности мероприятия;

d) спецификация мероприятия (Н): детальное описание мероприятия.

Примечание - Атрибут спецификация мероприятия является необязательным (Н), поскольку он не нужен, когда МОБП является "главным МОБП" в иерархии МОБП (см. рисунок 7 в подпункте 8.1.2.6.5 ИСО/МЭК 27034-1:2011) (см. рисунок 3). В противном случае он необходим.

 

Каждая спецификация мероприятия содержит атрибут Используемая матрица обязанностей (О), определяющий тип матрицы обязанностей, используемой в описании этого мероприятия. Допустимы следующие значения:

1) RACI <1>,

2) RASCI <2>.

--------------------------------

<1> RACI - Схема "Ответственность, подотчетность, консультирование, информирование" (ОПКИ) для обозначения ролей и обязанностей при выполнении действий в бизнес-процессах.

<2> RASCI - Схема "Ответственность, подотчетность, поддержка, консультирование, информирование" (ОППКИ) для обозначения ролей и обязанностей при выполнении действий в бизнес-процессах.

 

Для описания обязанностей допускается использовать следующие обозначения:

1) исполняет;

2) несет ответственность;

3) оказывает сопровождение;

4) консультирует;

5) получает уведомления.

Каждая спецификация мероприятия включает последовательность задач (О) в определенном порядке. Каждая задача должна содержать следующую информацию:

1) очередность (Н): номер в очереди выполнения, по которому задачи в рамках мероприятия выстраиваются в правильный порядок;

2) описание (О): описание задачи;

3) предварительные условия (Н): набор предварительных условий (в том числе требований предшествования), которые должны быть удовлетворены перед выполнением задачи;

4) требуемые ресурсы (О): ресурсы, используемые (и требуемые) для выполнения задачи. Для каждого случая выделения ресурсов предусмотрена следующая информация:

i) имя роли (О): ссылка на роль, которую будет играть ресурс. Набор возможных ролей определяется ASLCRM (см. 6.6),

ii) обязанность (О): обязанность RACI, принимаемая ролью в отношении задачи,

iii) описание (Н): описание характера выделения ресурса,

iv) требуемые квалификации (Н): список квалификаций, требуемых для того, чтобы сотрудник с определенной ролью мог взять на себя выполнение задач и действий в рамках мероприятия. Для каждой роли необходимо определить требуемые квалификации;

5) моменты выполнения (О): указание на то, когда (относительно мероприятий в эталонной модели жизненного цикла безопасности приложений (см. раздел 6)) должна выполняться задача. Для каждого момента исполнения необходимо указать следующую информацию:

i) порядок выполнения (О): порядок выполнения относительно указанного мероприятия. Допустимы следующие значения:

I) до,

II) во время,

III) после,

IV) собственное значение;

ii) эталон жизненного цикла (О): ссылка на мероприятие в эталонной модели жизненного цикла безопасности приложений. Допустимые значения ролей определяются ЭМЖЦБП (см. раздел 6);

iii) имя (Н): название мероприятия, если в модели жизненного цикла оно указано как "собственное";

iv) описание (О): указание на то, когда будет выполняться задача;

v) интервальное значение, единица измерения и обозначение (О): значение частоты выполнения задачи.

I) Для описания внутреннего значения допускается использовать следующие единицы времени:

i) секунды;

ii) минуты;

iii) часы;

iv) дни;

v) недели;

vi) месяцы;

vii) полугодия;

viii) годы.

II) Для описания интервалов допускается использовать следующие обозначения:

i) один раз;

ii) периодически;

iii) по мере необходимости;

iv) собственное значение.

6) список действий (О): последовательность низкоуровневых элементарных описаний действий, которые необходимо выполнить, чтобы завершить задачу,

7) результат (О): ожидаемый результат выполнения задачи, выраженный в артефактах, которые должны быть получены в результате выполнения задачи. Для каждого ожидаемого артефакта необходимо указать следующую информацию:

i) тип (О): тип произведенного артефакта. Допустимы следующие значения:

I) отчет;

II) документ;

III) исходный код;

IV) скомпилированный код;

V) исполняемый код;

VI) сценарий;

VII) библиотека;

VIII) диаграмма;

IX) файл параметров;

X) ссылка;

XI) собственное значение.

ii) содержимое (О): ожидаемое содержимое произведенного артефакта.

8) показатели объема усилий, необходимых для выполнения задачи (Н): прогнозируемый объем усилий на размещение ресурса в целях выполнения задачи,

9) примечание (Н): дополнительная информация об этой задаче, если необходимо.

5.2.4.4 Рекомендации по обеспечению содержания всех необходимых компонентов

Во время операции импорта необходимо импортировать весь набор МОБП, т.е. все МОБП, связанные через иерархию, должны импортироваться вместе.

Аналогичным образом ссылки между МОБП, приобретенными у поставщика, должны быть включены в схему ссылок библиотеки МОБП приобретателя.