ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.4 Компонент: технологический контекст приложения

7.4.1 Назначение

Этот компонент помогает определить риски безопасности, исходящие от технологической инфраструктуры приложения. Он предоставляет информацию о том, какие ИТ-компоненты могут использоваться для поддержки МОБП, требующих подобной поддержки.

7.4.2 Описание

Технологический контекст - это документация об ИТ-компонентах приложения (например, физических компонентах, приложениях, услугах, включая их конфигурацию и параметры) и собственных передовых практиках и правилах организации в отношении использования таких компонентов.

7.4.3 Содержание

Технологический контекст должен предоставить:

a) список ИТ-компонентов приложения, которые имеют отношение к безопасности приложений;

b) перечень рисков, которые влекут за собой вышеупомянутые ИТ-компоненты приложения;

c) список требований безопасности для снижения вышеуказанных рисков.

Технологический контекст включает в себя информацию о том, как разрабатывается приложение (например, собственными силами, через аутсорсинг или по смешанной схеме), как оно приобретается (например, это может быть продукт, который размещается на коммерчески готовой ОС (COTS), собственное, приложение с открытым исходным кодом или гибридное приложение) и как развертывается (например, в частном центре обработки данных, в общедоступном облаке, локально на мощностях клиента или в гибридной среде). Технологический контекст должен включать в себя описание оборудования и компонентов приложения (серверы баз данных, серверы приложений и т.д.), языков программирования, инфраструктуры, продуктов с открытым исходным кодом или сторонних продуктов, используемых для приложения. Каждый из этих аспектов будет определять методы, позволяющие приложению достигать согласованного уровня обслуживания, которые должны учитываться при выборе и внедрении МОБП.

7.4.4 Рекомендации

Компонент технологического контекста предоставляет технологическое описание и требования к приложению. В нем указаны доступность, целостность и конфиденциальность данных, используемых приложением. Он определяет соглашение об уровне обслуживания, которое приложение будет обеспечивать для организации.

Соглашение об уровне обслуживания для приложения также определяет технологические методы, используемые для удовлетворения этих требований.

Пример - Кластеризация программного обеспечения на виртуальных серверах с использованием избыточного оборудования, которое обращается к высоконадежному хранилищу со встроенным резервированием для репликации хранилища за пределами площадки в целях обеспечения возможности аварийного восстановления.

Группа НСО поможет определить бизнес-требования в отношении доступности, целостности и конфиденциальности данных, используемых приложением.

Технологический контекст приложения формируется или уточняется с учетом технологического контекста НСО организации и включает в себя все технологические компоненты приложения, такие как архитектура, инфраструктура, протоколы и языки программирования.

Часть технологического контекста среды для приложения определяет технологический стек и (или) инфраструктуру, на которой приложение построено, которую оно использует или с которой взаимодействует. Эта часть спецификации приложений будет использоваться на последующих этапах ПМБП для определения применимых мер обеспечения безопасности приложения из нормативной структуры организации и включения итоговых совпадений в нормативную структуру приложений.

Кроме того, технологический контекст позволяет включать в МОБП конкретные учебные материалы, демонстрирующие рекомендации по разработке и тестированию для каждого требования в технологическом контексте, используемом приложением.