ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений
6.3 Создание и поддержка нормативной структуры приложения
6.3.1 Общие положения
На третьем этапе ПМБП происходит выбор всех элементов НСО, которые применяются к конкретному проекту приложения, и формирование НСП для этого приложения. Процесс формирования НСП для конкретного приложения является обязательным. Как показано на рисунке 6, НСП является подмножеством или уточнением НСО и содержит только применимую информацию для конкретного приложения, включая целевой уровень доверия приложения, требуемые МОБП, контексты приложения (бизнес-контекст, регулятивный и технологический контексты), обязанности и профессиональную квалификацию действующих субъектов, а также спецификации приложения. Эта информация определяется или генерируется на этапах 1 и 2 ПМБП, документируется и хранится в НСП.
Рисунок 6 - Создание НСП на основе НСО
На данном этапе организация должна определить жизненный цикл приложения для проекта приложения. Жизненный цикл приложения является подмножеством эталонной модели жизненного цикла безопасности приложения [см. ИСО/МЭК 27034-1:2011 (подпункт 8.1.2.7)] в НСО. Жизненный цикл для конкретного проекта будет содержать только процессы, необходимые для проекта приложения.
Например, проект, разрабатываемый внутри организации, не будет включать в себя процессы, связанные с аутсорсингом.
Данный этап также выполняется для проверки того, что соответствующие элементы НСО, которые применяются к конкретному проекту приложения, должным образом зарегистрированы в нормативной структуре приложения (НСП).
Примечания
1 Данный этап соответствует этапу "обработка риска информационной безопасности" в рамках процесса менеджмента рисков, приведенного в ИСО/МЭК 27005.
2 Жизненный цикл приложения для проекта приложения получен из соответствующей модели жизненного цикла безопасности приложения, хранящейся в НСО. Модель жизненного цикла приложения представляет собой сопоставление элементов ЭМЖЦБП с конкретными методами или процессами в организации, такими как процесс аутсорсинга, процесс приобретения, процесс разработки (например, RUP <1>, RAD <2>), процесс эксплуатации и управления (например, SCRUM), процесс управления и обслуживания ИТ (например, ITIL <3>) [см. ИСО/МЭК 27034-2:2015 (пункт 5.5.10)].
--------------------------------
<1> Методология разработки программного обеспечения (методология RUP).
<2> Методология разработки программного обеспечения (методология RAD).
<3> Библиотека инфраструктуры информационных технологий (ITIL).
6.3.2 Назначение
Целями данного этапа являются управление и поддержание содержимого НСП в течение жизненного цикла конкретного приложения путем пересмотра, проверки, импорта и консолидации значимых элементов из НСО, включая:
a) МОБП, определяемые целевым уровнем доверия приложения;
b) информацию, генерируемую на разных этапах ПМБП;
c) жизненный цикл приложения.
Примечание - Данный этап соответствует шагу "подготовка и реализация планов по обработке рисков" в рамках этапа "обработка рисков" в процессе менеджмента рисков, приведенном в ИСО/МЭК 27005.
6.3.3 Результаты
Основные результаты данного этапа включают в себя:
a) обновленную и выпущенную полную НСП, содержащую все необходимые элементы для защиты приложения;
b) жизненный цикл приложения для проекта приложения;
c) применимые МОБП для проекта приложения.
6.3.4 Мероприятия по реализации
В таблице 7 показаны роли и обязанности по выполнению действий по реализации процесса "Создание и поддержка нормативной структуры приложения".
Таблица 7
Диаграмма RACI для процесса "Создание и поддержка
нормативной структуры приложения"
Мероприятия по реализации | Менеджер проекта | Проектная группа | Владелец приложения |
1) Определение и выбор процессов и ключевых действий из НСО для создания НСП | A | R | C |
2) Проверка соответствия внутренних моделей жизненного цикла безопасности приложения, используемых в этом проекте приложения, соответствующим этапам и действиям ЭМЖЦБП | A | R | C |
3) Импортирование в НСП требуемых процессов и МОБП, определяемые уровнем доверия приложения, присвоенным приложению | R | I | A |
4) Поддержка и передача НСП заинтересованным сторонам | A | R | I |
6.3.5 Мероприятия по верификации
В таблице 8 показаны роли и обязанности по выполнению действий по верификации процесса "Создание и поддержка нормативной структуры приложения".
Таблица 8
Диаграмма RACI для верификации процесса "Создание
и поддержка нормативной структуры приложения"
Мероприятия по верификации | Проектный менеджер | Аудиторы |
1) Подтверждение того, что нормативная структура приложения была определена | I | A/R |
2) Подтверждение того, что жизненный цикл приложения для проекта приложения сформирован | I | A/R |
3) Подтверждение того, что были выбраны меры обеспечения безопасности для проекта приложения | I | A/R |
4) Подтверждение того, что содержание НСП было проверено и подписано владельцем приложения | I | A/R |
6.3.6 Рекомендации
6.3.6.1 Общие положения
Действия, необходимые для обеспечения эффективного определения требований и среды приложения, включают в себя:
a) формирование НСП.
Информация из НСО, которая влияет на проект разработки приложения, должна быть записана в НСП.
Эта информация должна включать в себя, по крайней мере: целевой уровень доверия приложения, контекст приложения (бизнес-контекст, регулятивный и технологический контексты), обязанности и профессиональные квалификации участников, спецификации приложения, требования к дизайну, а также процессы, связанные с определением, управлением и проверкой безопасности приложения.
НСП для проекта приложения развивается в течение всего жизненного цикла приложения. На начальном этапе проекта приложения формируется начальная НСП. Эта начальная НСП совершенствуется по мере того, как в рамках проекта приложения накапливается больше знаний;
b) формирование жизненного цикла приложения.
Эталонная модель жизненного цикла безопасности приложения (ЭМЖЦБП), содержащаяся в НСО, должна быть проанализирована с целью определения жизненного цикла приложения для проекта приложения. Это означает, что экземпляр ЭМЖЦБП формируется и трансформируется в специализированный жизненный цикл безопасности приложения, который содержит необходимую подробную информацию (процессы) для проекта приложения;
c) выбор мер обеспечения безопасности для проекта приложения МОБП, которые копируются из НСО в НСП.
На основе целевого уровня доверия приложения, потребностей организации в отношении приложения, а также конкретных условий и спецификаций приложения следует выбирать применимые меры обеспечения безопасности для проекта приложения.
Примечание - МОБП могут быть обновлены для этого приложения только с разрешения владельца приложения и группы НСО;
d) обеспечение того, чтобы требования безопасности приложения были определены с учетом подтверждающих документов, таких как нормативные требования или спецификации программного обеспечения;
e) обеспечение того, чтобы потоки информации были детализированы;
f) определение бизнес-контекста, технологического и регулятивного контекстов приложения;
g) определение того, были ли участники вовлечены в процесс реализации;
h) подтверждение того, что вся полученная актуальная информация была записана в целях создания НСП;
i) сохранение результатов процесса верификации в НСП.
Должна быть выполнена верификация компонентов в НСП:
a) перед ключевыми этапами в проекте приложения;
b) в случае изменения бизнес-контекста, технологического или регулятивного контекстов;
c) в ходе периодических аудитов.
Рекомендуется, чтобы ответственность за проверку НСП описывалась в диаграмме RACI, аналогичной таблице 8.
6.3.6.2 Процессы обеспечения безопасности приложений
Значимые процессы, связанные с определением, управлением и проверкой безопасности приложений, должны быть включены в НСП. Эти процессы относятся к компоненту "процессы, связанные с безопасностью приложений" НСО. Некоторыми примерами таких процессов являются процедуры анализа уязвимостей, процедуры анализа исходного кода, планы реагирования на инциденты и т.д.
Чтобы обеспечить полноту, актуальность и точность НСП для конкретного приложения, рекомендуется определить обязанности для различных компонентов НСП.
6.3.6.3 Процессы, связанные с НСП
Организация должна определить и задокументировать процессы создания, утверждения и поддержания НСП. Должны быть указаны роли, обязанности и требуемая профессиональная квалификация действующих субъектов, вовлеченных в НСП организации для конкретного приложения. МОБП, указанные в нормативной структуре организации (НСО), связаны с этапами эталонной модели жизненного цикла безопасности приложения, а МОБП, указанные в нормативной структуре приложений (НСП), - с этапами жизненного цикла конкретного проекта приложения.
В ИСО/МЭК 27034-1:2011 (подпункт 8.1.2.7.1) указано, что необходимо обеспечивать соответствие между процессами в эталонной модели жизненного цикла безопасности приложений и процессами в каждом жизненном цикле, используемом в организации.
Процесс создания НСП определяет конкретный жизненный цикл безопасности приложения для проекта приложения путем выбора значимых процессов и действующих субъектов из НСО. В процессе создания НСП также выбираются МОБП из библиотеки МОБП в соответствии с целевым уровнем доверия приложения, принятым владельцем приложения.
Организации должны провести валидацию НСП, после чего НСП должна быть подписана владельцем приложения.
Подписаться на обновления