ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.2 Компонент: бизнес-контекст приложения

7.2.1 Назначение

Этот компонент используется для хранения бизнес-элементов, определенных, идентифицированных и обработанных в проекте приложения. В этом компоненте представлен утвержденный стандартизированный подход для снижения рисков, связанных с бизнес-контекстом приложения в течение жизненного цикла безопасности. Он описывает варианты с точки зрения бизнеса, применимые к целевому приложению. Бизнес-элементы приложения, определенные на этом этапе, используются для поиска частей НСО при составлении НСП.

7.2.2 Описание

Бизнес-контекст приложения - это задокументированный перечень всех бизнес-процессов, стандартов и лучших практик, связанных с проектом приложения, которые, в основном, берутся из НСО. Реализация и эксплуатация приложения могут быть связаны с рисками. Организация должна оценить риски, определить требования безопасности и МОБП для снижения этих рисков. Специалисты по реализации МОБП должны знать, почему предоставляются данная МОБП, т.е. к какому требованию в области безопасности эти МОБП относятся. Эту необходимую информацию специалисты должны найти в компоненте бизнес-контекста НСП.

7.2.3 Содержание

Бизнес-контекст должен предоставить:

a) список всех сфер деятельности организации, осуществляемой во всех ее подразделениях, где будут запускаться или использоваться приложения;

b) документы или данные, представляющие сферы деятельности, ограничения и способы ведения дел в организации и ее бизнес-направления: процессы управления приложениями, бизнес-процессы, адаптированные для приложений, включая в себя директивы и внутренние правила бизнес-подразделений;

c) список процессов, политик и лучших методов работы для всех сфер деятельности организации, где будут использовать приложения, например:

1) процессы управления бизнесом, проектами, развитием, анализом рисков, бизнес-операциями, аудитом, средствами управления и изменениями;

2) политики безопасности организации, относящиеся к проекту приложения;

3) перечень соответствующих информационных активов организации с различными уровнями безопасности;

4) методология разработки, используемая в проекте приложения;

5) лучшие практики для языков программирования, технического обслуживания, поддержки или непредвиденных ситуаций, используемые в проекте приложения и перечисленные в технологическом контексте;

6) актуальные для проекта приложения стандарты, например стандарты ИСО/МЭК и производственные стандарты, которым организация обязалась соответствовать;

d) список рисков, сопутствующих вышеупомянутыми процессам, политикам и лучшим методами работы и имеющих отношение к безопасности этого приложения;

e) список требований безопасности для снижения вышеуказанных рисков;

f) целевой уровень доверия приложения и фактический уровень доверия приложения;

g) список МОБП, который должен быть реализован и проверен, включая их результаты.

Бизнес-контекст включает в себя описание того, что и как должно выполнять приложение.

7.2.4 Рекомендации

Бизнес-функции в действиях процесса должны быть разработаны и определены как элементарные требования приложению.

В рамках бизнес-функций сценарии управления должны определяться как требования.