ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений
6.5 Аудит безопасности приложения
6.5.1 Общие положения
Пятым и последним этапом ПМБП является проверка безопасности приложения, т.е. верификация результатов проверки действий по измерению каждой МОБП, указанной в целевом уровне доверия приложения и подлежащей реализации в приложении. Результаты этих действий по проверке МОБП предоставят доказательства того, что применяемые МОБП на момент проверки применялись, как и ожидалось. Данный этап ПМБП может быть выполнен в любое время в течение жизненного цикла приложения. В зависимости от целевого уровня приложения, этап можно реализовать один раз, периодически или в зависимости от события.
Этот процесс показывает фактический уровень доверия приложения в данный момент. Приложение считается безопасным, когда фактический уровень доверия приложения соответствует целевому уровню доверия приложения, утвержденному владельцем приложения в определенный момент времени, или превышает этот уровень.
Часть МОБП, относящаяся к верификационным измерениям, определяет действия по обеспечению безопасности, которые должны быть проверены, чтобы предоставить доказательства того, что действия были выполнены квалифицированным субъектом правильно и дали ожидаемые результаты.
- процесс; 
- элемент; 
- группа;
- действующий субъект; 
- действие; 
- МОБП
Рисунок 8 - МОБП, используемые для верификационных измерений
На рисунке 8 показано, что часть МОБП, относящаяся к верификационным измерениям, используется командой верификации в качестве контрольной точки для проверки и валидации приложения и проекта, а также для предоставления рекомендаций владельцу приложения, чтобы он мог решить, может ли проект приложения перейти к следующему этапу реализации. Например, МОБП может потребовать использования службы кластеризации серверов для обеспечения доступности приложения. Часть МОБП, относящаяся к верификационным измерениям, подтверждает, что такая служба действительно была реализована.
На рисунке 8 также показано, что часть МОБП, относящаяся к верификационным измерениям, может использоваться для проверки квалификации участников, которые выполняли процессы в жизненном цикле приложения. Например, МОБП может требовать, чтобы критически важный компонент приложения реализовывал старший разработчик. Часть МОБП, относящаяся к верификационным измерениям, проверяет квалификацию разработчика, который внедрил компонент.
К концу данного этапа организация может объявить приложение "безопасным", если его фактический уровень доверия приложения соответствует целевому. Оно сохраняет статус "безопасного" до следующей обязательной проверки, будь то периодическая проверка, требуемая ПМБП, или какая-либо другая проверка, требуемая организацией.
Примечание - Несмотря на название данного этапа, его назначение и описание, приведенные в настоящем стандарте, делают его более тесно связанным с концепцией проверки безопасности приложения, чем с концепцией аудита безопасности приложения (подраздел 3.1). Правильнее было бы назвать данный этап "пересмотр безопасности приложения". Однако текущее название сохраняется, чтобы обеспечить согласованность с ИСО/МЭК 27034-1.
6.5.2 Назначение
Целью пятого этапа ПМБП является проверка и официальная регистрация доказательств того, что конкретное приложение достигло целевого уровня доверия приложения в конкретный момент времени и поддерживает этот уровень.
6.5.3 Результаты
Основными результатами данного этапа являются:
a) результаты выполнения процесса пересмотра безопасности приложения, которые демонстрируют, что все верификационные измерения, предоставленные всеми МОБП в НСП для конкретного приложения, были выполнены, и что результаты были верифицированы;
b) фактический уровень доверия приложения в определенное время;
c) доказательство того, что конкретное приложение достигло целевого уровня доверия приложения в определенный момент времени и поддерживает его;
d) результаты проверки и зарегистрированные данные о достижении и поддержании целевого уровня доверия приложения в определенный момент времени.
6.5.4 Мероприятия по реализации
Роли и обязанности по выполнению действий в ходе реализации процесса "Верификация безопасности приложения" приведены в таблице 11.
Таблица 11
Диаграмма RACI для процесса "Верификация
безопасности приложения"
Мероприятия по реализации | Менеджеры | Аудиторы |
1) Подтверждение того, что все МОБП, связанные с целевым уровнем доверия приложения, были импортированы в НСП и реализованы в приложении | I | A/R |
2) Сравнение фактического уровня доверия приложения с целевым уровнем | I | A/R |
3) Документирование доказательства того, что конкретное приложение достигло целевого уровня доверия приложения в определенный момент времени и поддерживает его | I | A/R |
4) Подтверждение того, что мероприятия по проверке наличия МОБП в НСП были выполнены, и ожидаемые результаты были получены и верифицированы | I | A/R |
5) Измерение фактического уровня доверия приложения | I | A/R |
6.5.5 Мероприятия по верификации
В таблице 12 показаны роли и обязанности по выполнению процесса "Верификация безопасности приложения".
Таблица 12
Диаграмма RACI для процедур верификации в рамках процесса
"Верификация безопасности приложения"
Мероприятия по верификации | Менеджеры | Аудиторы |
1) Подтверждение того, что результаты процесса проверки безопасности приложения демонстрируют, что все верификационные измерения, предоставленные всеми МОБП в НСП для конкретного приложения, были выполнены, и результаты были верифицированы | I | A/R |
2) Подтверждение того, что фактический уровень доверия приложения в определенное время был измерен | I | A/R |
3) Обеспечение информирования о том, что конкретное приложение достигло целевого уровня доверия приложения в определенный момент времени и поддерживает его | I | A/R |
4) Подтверждение того, что результаты верификации и данные о достижении и поддержании целевого уровня доверия приложения в определенный момент времени были задокументированы | I | A/R |
6.5.6 Рекомендации
Для организации этот процесс используется для определения того, что элементы НСО, идентифицированные уполномоченным органом, были реализованы и успешно прошли процесс верификации.
Для приложения этот процесс используется для определения того, что все МОБП, заданные целевым уровнем доверия приложения, были реализованы и успешно прошли процесс верификации.
Данный этап может быть выполнен внутренней или внешней группой верификации. Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией или от ее имени. Это анализ проводится с целью подготовки отчета для руководства или достижения других внутренних целей (например, с целью подтверждения эффективности системы управления или получения информации для улучшения процесса управления НСО). Внутренние аудиты могут послужить основой для самостоятельного подтверждения организацией соответствия НСО или требованиям приложения.
Внешние аудиты включают в себя аудиты второй стороны и аудиты третьей стороны. Аудиты второй стороны проводятся сторонами, заинтересованными в организации, такими как правительство, клиенты, поставщики или другие лица, действующие от их имени.
Аудиты третьей стороны проводятся независимыми аудиторскими организациями, такими как регулирующие органы и организации по сертификации.
Чтобы убедиться, что результаты верификации элементов не были подделаны, аудитор безопасности приложения может выбрать повторную верификацию выбранных элементов в рамках сертификации безопасности приложения.
Определение объема проверки безопасности приложения или аудита часто оказывается проблематичным. ИСО/МЭК 27034 (все части) помогает решить эту проблему: максимальный объем верификации или аудита безопасности приложения составляют действия по верификации из МОБП, содержащихся в НСП приложения.
Группа верификации и группа обеспечения безопасности могут считать концепцию МОБП полезной, поскольку каждая МОБП для конкретного приложения предоставляет подробную информацию о действиях по обеспечению безопасности и соответствующих верификационных измерениях. Согласно ИСО/МЭК 27034-1:2001 (подпункт 8.1.2.6.5.4), процедуры верификации и ожидаемые результаты указываются в разделе "Верификационное измерение" МОБП.
Управление проектами приложений может использовать концепцию МОБП как эффективный инструмент для обеспечения безопасности приложений. МОБП детализирует требуемые задачи верификации, профессиональные ресурсы с определенной квалификацией, примерную трудоемкость, например в человеко-днях для задач верификационного измерения проверки, и точные этапы в жизненном цикле приложения, на которых должно выполняться верификационное измерение.
Этот процесс может также использоваться процессом аудита и сертификации для повторного тестирования МОБП приложения и представляет собой этап "Обработка риска информационной безопасности" в процессе менеджмента рисков в соответствии с ИСО/МЭК 27005.
Рисунок 9 - Процесс верификации безопасности приложений
На рисунке 9 показаны ключевые этапы процесса верификации безопасности приложения, которые необходимо выполнить для оценки фактического уровня доверия приложения для приложения. В этот процесс входят следующие мероприятия:
a) определение и подтверждение элементов НСП из НСО;
b) определение и подтверждение рисков безопасности, связанных с приложением;
c) определение и подтверждение требований безопасности приложения, включая минимально необходимые;
d) определение и подтверждение целевого уровня доверия приложения, который соответствует всем определенным требованиям безопасности;
e) подтверждение целевого уровня доверия приложения и получение одобрения владельца приложения;
f) проведение верификационных измерений в отношении МОБП;
g) обновление НСП.
Организация может определить приложение как безопасное, если фактический уровень доверия приложения равен целевому уровню или превосходит его.
Примечание - Данный этап соответствует этапу "Принятие риска информационной безопасности" в рамках процесса менеджмента рисками, приведенного в ИСО/МЭК 27005. Принятие риска осуществляется как до, так и после реализации проекта приложения, на этапах 2 и 5 ПМБП.
Подписаться на обновления