ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.5 Компонент: технические спецификации

7.5.1 Назначение

Этот компонент используется для хранения информации, помогающей выявить и снизить риски безопасности, вытекающие из спецификаций приложений, а также риски неправильной реализации и (или) неправильного использования этих спецификаций.

7.5.2 Описание

Компонент спецификаций приложения представляет собой документацию об общих ИТ-требованиях приложения. Он должен содержать все спецификации, функциональные возможности и службы, предоставляемые приложениями или входящими в них, включая в себя документацию и лучшие методы работы для внедрения, использования и проверки.

Спецификации приложения могут иметь форму функциональных, а также нефункциональных требований, а также требований безопасности.

Спецификации безопасности и спецификации, которые влияют на безопасность, особенно важны для ПМБП. Примерами спецификаций безопасности являются минимальные требования безопасности, такие как хранение, передача и настройка паролей, а также средства управления сеансами. Примерами спецификаций, влияющих на безопасность, являются требования к тому, как конечные пользователи и уровни приложений проходят аутентификацию в отношении друг друга.

7.5.3 Содержание

Хранилище спецификаций приложений должно предоставить:

a) список всех спецификаций приложений, включенных в приложение или предлагаемых им;

b) для каждой спецификации список процессов и лучших методов работы, утвержденных организацией, используемых для внедрения, использования, технического обслуживания или верификации приложений;

c) перечень рисков, связанных с применением указанных выше спецификаций;

d) список требований безопасности для снижения вышеуказанных рисков.

7.5.4 Рекомендации

Спецификации приложения подробно описывают шаги для выполнения каждой функции приложения. Кроме того, все данные, используемые, хранимые, обрабатываемые, разделяемые и передаваемые приложением, должны быть определены и распределены по категориям. К этим данным относятся все входные и выходные данные, данные конфигурации, данные приложения и данные пользователя.

Информация для построения этого компонента НСП должна быть получена из документированной архитектуры приложения.

По возможности, спецификации приложений должны быть связаны с предварительно одобренными решениями организаций, доступными в компоненте НСО под названием "Хранилище спецификаций приложений". Предварительно одобренные решения обычно представляют собой процессы, продукты или библиотеки кодов, рекомендуемых или обязательных к использованию на практике, согласно правилам, политикам или корпоративной архитектуре организации, в зависимости от среды.

Подобные решения обычно являются зрелыми и постоянно совершенствуются. Преимущество повторного использования таких решений в проектах приложений очевидно.

Подробнее данный компонент рассмотрен в ИСО/МЭК 27034-2:2015 (подпункт 5.5.5.4).