ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений
5.3 Принципы и понятия
5.3.1 Общие положения
В дополнение к принципам, определенным в ИСО/МЭК 27034-1, организации, создающие, эксплуатирующие или сопровождающие приложения, должны руководствоваться следующими принципами:
a) каждому приложению должен быть присвоен целевой уровень доверия приложения;
b) любой компонент или процесс в сфере безопасности, используемый в проекте приложения, должен быть выбран из НСО;
c) все выбранные МОБП с целевым уровнем доверия приложения должны быть внедрены, верифицированы и для них должен быть проведен аудит.
5.3.2 Определение ролей и обязанностей
В настоящем стандарте для назначения ролей и обязанностей по выполнению мероприятий, входящих в процессы, используются диаграммы RACI <1> (Responsible - Accountable - Consulted - Informed). С помощью таких диаграмм определяются субъекты, ответственные, отчитывающиеся, консультирующие и сообщающие о выполнении действий. Для описания обязанностей субъектов используются сокращения (таблица 2).
--------------------------------
<1> Ответственный за выполнение действия - Отчитывающийся за выполнение действия - Консультирующий во время выполнения действия - Сообщающий о выполнении действия (RACI).
Таблица 2
Сокращения, используемые в диаграммах RACI
для описания обязанностей субъектов
Код | Обязанность |
R | Ответственный за выполнение действия |
A | Отчитывающийся за выполнение действия |
C | Консультирующий во время выполнения действия |
I | Сообщающий о выполнении действия |
Использование диаграмм RACI в организациях, вводящих настоящий стандарт, не является обязательным. Организации должны использовать рекомендации, приведенные в настоящем стандарте, с учетом собственных методов определения ролей и обязанностей.
Очень важно, чтобы организация определила лиц, ответственных, отчитывающихся, консультирующих и сообщающих о выполнении действий по реализации и верификации. Таблица 2 может быть использована при внедрении нормативной структуры приложений в организации.
5.3.3 Взаимосвязь процесса менеджмента безопасности приложений с нормативной структурой организации
НСО, подробно описанная в ИСО/МЭК 27034-2, обеспечивает контекст для ПМБП на уровне организации. Этот контекст включает в себя все процессы, связанные с безопасностью приложений, такие как нормативные акты, законы, лучшие практики, роли и обязанности, принимаемые организацией. ПМБП использует этот контекст для создания и поддержки нормативной структуры приложения для каждого проекта приложения. В свою очередь ПМБП поддерживает постоянное улучшение НСО, основываясь на новых знаниях, предложениях и практиках по совершенствованию мер обеспечения безопасности приложений, полученных в ходе разработки и развертывания приложения.
5.3.4 Использование утвержденных инструментальных средств
Проектные группы должны использовать преимущества новых методов обеспечения безопасности и защиты, используя утвержденные инструментальные средства и связанные с ними проверки безопасности, такие как опции компилятора/компоновщика и предупреждения. Список утвержденных инструментальных средств должен быть представлен как часть нормативной структуры организации. Если проектной группе известно об инструментальном средстве, которое превосходит по своим параметрам средства, указанные в утвержденном списке НСО, она должна использовать процесс обратной связи НСО и проинформировать команду НСО об этом инструментальном средстве.
Примечание - Описание, назначение и роль группы НСО определены в ИСО/МЭК 27034-2:2015 (пункт 5.4.3).
5.3.5 Уровень доверия приложения
"Уровень доверия приложения" - это метка, которая присваивается набору применимых МОБП из библиотеки мер обеспечения безопасности приложений в НСО. ИСО/МЭК 27034 (все части) предлагает два типа уровней доверия приложений, которые могут быть связаны с приложением:
a) целевой уровень доверия приложения;
b) фактический уровень доверия приложения.
Целевой уровень доверия приложения должен быть определен в результате реализации процесса менеджмента рисков, приведенного в ИСО/МЭК 27005.
5.3.6 Целевой уровень доверия приложения
Применимые меры обеспечения безопасности для целевого уровня доверия приложения могут быть заранее определены в НСО или получены из рабочего процесса, определяющего эти меры с учетом выбранного уровня доверия приложения и требований безопасности приложения. Для обеспечения согласованности процесса в нескольких приложениях в ходе рабочего процесса могут быть использованы средства автоматизации и инструментальные средства, включая системы управления жизненным циклом приложений.
В процессе оценки рисков устанавливаются требования безопасности, на основании которых определяется целевой уровень доверия приложения. Это, в свою очередь, является целью проектной группы приложения.
Целевой уровень доверия приложения может помочь в достижении уровня доверия приложения, необходимого организации, которая может использовать или развернуть приложение после принятия остаточных рисков, определенных в результате их оценки.
Целевой уровень доверия приложения крайне важен для безопасности приложения, поскольку он напрямую определяет подходящие меры обеспечения безопасности приложения, которые необходимо выбрать из библиотеки МОБП и реализовать в жизненном цикле приложения.
Целевой уровень доверия приложения должен принадлежать одному из уровней доверия приложения (или находится в пределах диапазона), определенных в библиотеке МОБП организации [см. ИСО/МЭК 27034-1:2011 (подпункт 8.1.2.6)], которая является частью НСО.
Библиотека МОБП (ИСО/МЭК 27034-1:2011, рисунок 5) может быть представлена в виде таблицы, в столбце которой находится целевой уровень доверия приложения. Таким образом, выбор уровня доверия приложения означает выбор всех МОБП в этом столбце.
Ниже представлены примеры разбивки уровней доверия приложений, которые могут быть определены организацией.
Примеры
1 Критически важные бизнес-приложения, внутренние приложения, общедоступные приложения.
2 Универсальное общедоступное веб-приложение: целевой уровень доверия приложения - это общедоступное приложение, технологический контекст - веб-приложение с базой данных, бизнес-контекст - приложение хранит и обрабатывает пароли конечных пользователей.
5.3.7 Фактический уровень доверия приложения
Фактический уровень доверия приложения - это максимальный уровень доверия приложения, подтвержденный группой проверки в соответствии с измерениями всех МОБП приложения.
Каждое МОБП, включенное в НСП для любого проекта приложения, предоставляет конкретное и подробное описание действий по измерениям, которые должна выполнить группа проверки, с указанием конкретного этапа жизненного цикла приложения, на котором должно быть выполнено измерение.
Фактический уровень доверия приложения определяется во время проверки безопасности приложения путем проверки МОБП, которая должна быть выполнена в определенный момент жизненного цикла приложения. Если какая-либо МОБП дает сбой в ходе проверки, организация должна принять соответствующие меры для исправления ситуации.
Достижение целевого уровня доверия приложения подтверждается успешной проверкой всех его МОБП и после получения всех необходимых доказательств в результате измерений.
Если некоторые из МОБП не проходят проверку, владелец приложения должен принять необходимые меры для решения этой проблемы.
Учитывая, что целевой уровень доверия приложения был утвержден владельцем приложения на этапе 2 ПМБП, приложение будет считаться безопасным для использования или развертывания в течение определенного периода времени по согласованию с группой проверки, предоставляющей доказательства того, что целевой уровень доверия приложения был достигнут. Статус безопасности приложения действителен только в течение определенного периода времени, поскольку этап 2 ПМБП подлежит периодическому пересмотру.
Приложение считается безопасным в соответствии с ИСО/МЭК 27034, если фактический уровень доверия приложения равен или превышает целевой уровень доверия приложения; например, если все МОБП для уровня доверия приложения "Синий" успешно внедрены и проверены, то приложение может считаться безопасным и получает "Фактический уровень доверия приложения - Синий".
5.3.8 Влияние настоящего стандарта на проект приложения
Типовой проект приложения (до того, как организация учтет рекомендации настоящего стандарта) управляется группой исполнения, применяющей процессы, которые часто автоматизируются с помощью технологий с целью создания прикладного продукта. Роль группы проверки может взять на себя группа обеспечения качества, которая следует планам тестирования для оценки функциональности приложения в соответствии с принятыми функциональными требованиями.
На рисунке 2 показано, как настоящий стандарт помогает добавить новые роли, обязанности, компоненты и процессы в типовой проект приложения.
- группа; 
- элемент; 
- процесс;
- действующий субъект; 
- действие
Рисунок 2 - Влияние настоящего стандарта на роли
и обязанности в типовом проекте приложения
Технология и методология разработки, используемые группой исполнения, зрелость процесса, качество произведенных артефактов и квалификация участников проекта проверяются редко, и такие проверки, если они выполняются, обычно не формализованы.
Подписаться на обновления