ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений
6.4 Подготовка к работе и эксплуатация приложений
6.4.1 Общие положения
Четвертый этап ПМБП включает в себя использование МОБП, сформированных на основе НСП, для конкретного приложения в течение его жизненного цикла. Например, организация может принять решение о разработке, приобретении и (или) эксплуатации приложения. Данный этап ПМБП следует применять как к этапам подготовки в жизненном цикле приложения, так и к этапам эксплуатации, он помогает интегрировать МОБП, определенные в соответствии с целевым уровнем доверия приложения, в любые существующие процессы или компоненты приложения. Данный этап также включает в себя проверку того, что все действия МОБП были интегрированы в жизненный цикл приложения.
На данном этапе проектной группе и группе проверки предоставляются МОБП, связанные с целевым уровнем доверия приложения для их проекта.
МОБП также используются группой проверки, поскольку они предоставляют подробную информацию о том, какие измерения должны быть проведены, чтобы предоставить доказательство того, что действия по обеспечению безопасности были выполнены правильно и дали ожидаемые результаты.
Ключевые действующие субъекты, которые могут обеспечивать меры безопасности из МОБП, приведены на рисунке 7.
- процесс; 
- элемент;
- действующий субъект; 
- действие; 
- МОБП
Рисунок 7 - МОБП, используемые для действий
по обеспечению безопасности
Менеджеры проектов должны найти в МОБП подробную информацию, такую как требуемые задачи, ресурсы и квалификации, трудоемкость выполнения в человеко-днях и конкретный этап жизненного цикла, на котором должна выполняться каждая задача.
Примечание
1 Данный этап соответствует этапу "обработка риска информационной безопасности" в рамках процесса менеджмента рисков, приведенного в ИСО/МЭК 27005.
2 Защищенные системы управления жизненным циклом приложений могут дополнительно использоваться проектными группами и группами проверки для управления и отслеживания действий по обеспечению безопасности, приведенных в МОБП, в течение всего жизненного цикла приложения.
6.4.2 Назначение
Целью реализации этого процесса является создание элементов НСП, относящихся к соответствующим этапам, фазам и действиям, охватываемым проектом.
Проектная группа реализует МОБП из НСП:
a) часть действий по обеспечению безопасности каждой МОБП осуществляется действующим субъектом, указанным в МОБП;
b) часть мер безопасности каждой МОБП осуществляется действующим субъектом, указанным в МОБП.
6.4.3 Результаты
В результате успешного выполнения этого процесса должна быть получена следующая информация:
a) список выполненных МОБП и результаты их выполнения;
b) артефакты приложения, в том числе обновленная НСП;
c) обратная связь с процессом управления НСО, если это применимо;
d) сведения о любых различиях между целевым и фактическим уровнем доверия приложения в результате выполнения этапа 5;
e) отчеты и результаты аудита каждой МОБП приложения, включая, в частности, объем аудита, состояние каждой МОБП, недостатки и возможные решения для их устранения, в том числе:
1) результаты выполнения мероприятий по обеспечению безопасности из МОБП, связанных с целевым уровнем доверия приложения для проекта приложения;
2) результаты измерений с целью верификации, выполненных с использованием МОБП в проекте;
f) фактический уровень доверия приложения для приложения, как результат этапа 5;
g) прототип приложения (функциональное подмножество приложения) или приложение целиком, в зависимости от итерации в жизненном цикле, с соответствующими МОБП, реализованными и проверенными.
6.4.4 Мероприятия по реализации
Роли и обязанности по выполнению действий по реализации процесса "Подготовка и эксплуатация приложения" приведены в таблице 9.
Таблица 9
Диаграмма RACI для процесса "Подготовка
и эксплуатация приложения"
Мероприятия по реализации | Менеджер проекта | Проектная группа | Владелец приложения | Аудиторы |
1) Проведение подробного анализа рисков безопасности приложения | A/R | R | C | I |
2) Принятие мер по обеспечению безопасности в рамках каждой МОБП | A | R | I | I |
3) Выполнение мероприятий по верификации в рамках каждой МОБП | C | C | I | A/R |
4) Предоставление обратной связи процессу менеджмента НСО по мере необходимости | A/R | I | I | I |
6.4.5 Мероприятия по верификации
Роли и обязанности по выполнению действий по верификации процесса "Подготовка и эксплуатация приложения" приведены в таблице 10.
Таблица 10
Диаграмма RACI для верификации процесса
"Подготовка и эксплуатация приложения"
Мероприятия по верификации | Менеджеры | Аудиторы |
1) Подтверждение того, что в организации имеется список действий по обеспечению безопасности в рамках МОБП, связанных с целевым уровнем доверия приложения для проекта приложения | I | A/R |
2) Гарантия выполнения действий по обеспечению безопасности из этого списка | I | A/R |
3) Подтверждение того, что в организации имеется список верификационных измерений, который входит в состав МОБП | I | A/R |
4) Гарантия выполнения измерений из этого списка | I | A/R |
5) Подтверждение того, что прототип приложения с соответствующими МОБП был реализован и верифицирован | I | A/R |
6.4.6 Рекомендации
6.4.6.1 Общие положения
Если в ходе выполнения данного этапа ПМБП, например, при детальном анализе рисков или разработке детальной архитектуры, проектная группа определит, что МОБП в НСП необходимо адаптировать, исправить или иным образом изменить или что новые МОБП необходимы для надлежащего удовлетворения требований безопасности приложения, она должна сообщить об этом посредством процесса управления НСО, чтобы необходимые изменения были выполнены приемлемым для организации способом.
Это взаимодействие обозначено на рисунке 1 в виде стрелки с надписью "Обеспечивает обратную связь с". В ИСО/МЭК 27034-2:2015 (рисунок 1) показано, что это взаимодействие в основном нацелено на подпроцесс "Мониторинг и пересмотр НСО". В ИСО/МЭК 27034-2:2015 (подпункт 5.4.6.5) приведены примеры и указано, что "обратная связь от проектов приложений также должна использоваться в качестве одного из важнейших источников информации для постоянного улучшения качества и эффективности МОБП, применяемых в проектах".
Некоторые организации могут считать приемлемым, что проектные группы предоставляют при использовании обратной связи предложения по обновлению существующих или внедрению новых МОБП, особенно если проектная группа в настоящее время имеет требуемый опыт такой работы. В любом случае новые или обновленные МОБП предоставляются проектным группам организации в результате подпроцесса "Улучшение НСО" процесса управления НСО [см. ИСО/МЭК 27034-2:2015 (подпункт 5.4.7.2)].
Примечание - Некоторые рекомендации по реализации и эксплуатации приложения приведены в приложении A.
Подписаться на обновления