ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.3 Компонент: регулятивный контекст приложения

7.3.1 Назначение

Этот компонент используется для хранения значимых правовых и нормативных требований, применимых в тех местах, где приложение используется или развернуто. Таким образом, формируется обоснование для некоторых требований безопасности приложения и МОБП.

7.3.2 Описание

Регулятивный контекст приложения включает в себя все законы, нормы и правила, действующие на определенной территории или в рамках определенной юрисдикции, которые влияют на реализацию/эксплуатацию приложения или использование этим приложением данных (например, риски, связанные с разными национальными законами в тех странах, где используется приложение).

7.3.3 Содержание

Регулятивный контекст должен предоставить:

a) список законов и правил, применимых в местах, где приложение используется или развернуто;

b) список рисков, сопутствующих вышеупомянутым законам и нормативным актам и имеющих отношение к безопасности приложений;

c) список требований безопасности для снижения вышеуказанных рисков.

7.3.4 Рекомендации

Периодический пересмотр правовых и нормативных мер необходим для обеспечения соответствия отраслевым стандартам и обновленным технологиям для защиты персональных данных потребителя.

Процесс определения того, какие нормативные характеристики применимы к приложению, должен учитывать следующее:

a) пользователей приложения. Например, если дети младше определенного возраста являются целевыми пользователями приложения, к такому приложению могут применяться определенные правила;

b) данные, которые обрабатываются приложением. Например, определенные финансовые данные, такие как сведения о кредитной карте, имеют нормативные спецификации, регулирующие обработку таких данных и управление ими;

c) бизнес-контекст приложения. Например, к компаниям, акции которых торгуются публично, применяются определенные правила в отношении финансовой точности, которые могут повлиять на приложения, обрабатывающие транзакции в организации;

d) географический контекст. Правила, которые распространяются на приложение, зависят от нескольких аспектов его местоположения. Например, это местоположение организации, эксплуатирующей программное обеспечение, а также местоположение целевой аудитории и данные о местоположении. Степень влияния каждого из аспектов зависит от регулятивного контекста.

Можно привести другие примеры:

a) данные - это персональные данные и данные, относящиеся к продуктам, экспорт которых ограничен;

b) персональные данные, регулируемые в некоторых странах законами о конфиденциальности или защите данных;

c) подробное описание регулятивного контекста приложения содержится в ИСО/МЭК 27034-2:2015 (подпункт 5.5.3.4).