ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7 Элементы нормативной структуры приложения

 

7.1 Общие положения

7.1.1 Назначение

Нормативная структура приложения (НСП) является официальным источником подробной информации, необходимой конкретному приложению для достижения целевого уровня доверия приложения.

Это истории элементов, решений и результатов, накопленных в течение жизненного цикла приложения.

7.1.2 Описание

Требования безопасности в НСП основаны на оценке рисков, связанных с использованием приложения организацией (этап 2 ПМБП).

НСП создается для каждого проекта приложения и наполняется информацией о технологическом и регулятивном контекстах, а также бизнес-контексте, спецификациях приложений и соответствующих МОБП. Таким образом, НСП является подмножеством или уточнением НСО.

НСП определенного проекта приложения содержит компоненты, представленные ниже. На рисунке 10 приведено графическое представление НСП.

 

 

Рисунок 10 - Нормативная структура приложения

 

НСП существует и может развиваться в течение всего жизненного цикла приложения. Например, регулятивный контекст приложения может измениться, или владелец приложения может предоставить проектной группе приложения новый целевой уровень доверия приложения. В этих случаях организация может добавить новые элементы в НСП или удалить старые.

Изменения в НСП могут повлиять на безопасность приложения. Владелец приложения должен подтвердить эти изменения.

НСП для конкретного проекта приложения содержит различные компоненты, которые приведены в следующих подразделах.