ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.6 Компонент: действующие субъекты приложения: роли, обязанности и квалификация

7.6.1 Назначение

Этот компонент помогает определить и снизить риски безопасности, исходящие от людей, работающих с приложениями. Этот компонент также помогает гарантировать, что все критические роли для всех процессов назначены, все обязанности распределены, предотвращены конфликты интересов, а также что сотрудники, назначенные на данные роли, имеют достаточную профессиональную квалификацию.

7.6.2 Описание

Этот компонент представляет собой документацию о ролях, обязанностях и необходимой квалификации для действующих субъектов, связанных с приложением.

7.6.3 Содержание

Список ролей основан на перечне, приведенном в ИСО/МЭК 27034-5:2017 (подраздел 6.6).

a) Любая роль.

Эту роль играют все перечисленные далее действующие субъекты и заинтересованные стороны.

b) Приобретающая сторона.

Лицо, которое приобретает или получает продукт или услугу у поставщика. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

c) Архитектор приложения.

Лицо, ответственное за определение архитектуры приложения, в том числе ключевые технические решения, которые определяют его общую конструкцию, обеспечение поддержки и реализацию. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

d) Администратор приложения.

Лицо, ответственное за параметризацию и предоставление доступа к приложению. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению ИТ.

e) Оператор приложения.

Лицо, ответственное за работу приложения и управление им.

Примечание - Оператор приложения может отвечать за управление правами пользователя приложения, функциональность и интерфейсы приложения (например, sysop, sysadmin).

 

f) Руководство, несущее ответственность.

Самый высокопоставленный персонал, несущий ответственность за безопасное использование приложения в организации. Действующие субъекты, выступающие в этой роли, являются членами группы "Ответственные руководители".

g) Аудитор.

Лицо, которое проводит официальную, систематическую проверку безопасности приложения. Лицо, которое играет эту роль, может быть членом внутренней (проводящей внутренний аудит) или внешней (проводящей внешний аудит) группы экспертов.

h) Директор по (информационной) безопасности (CSO/CISO).

Лицо, ответственное за определение и поддержку мер обеспечения безопасности в организации. Действующие субъекты, выступающие в этой роли, являются членами группы "Ответственные руководители".

i) Разработчик.

Лицо, ответственное за разработку части или всего приложения, в том числе конструирование, прототипирование, реализацию, тестирование элементов и интеграцию компонентов в решение. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

j) Специалист в предметной области.

Лицо, знакомое с предметной областью, которое может предоставить детальную информацию о предметной области. Действующие субъекты, выступающие в этой роли, являются членами группы внешних экспертов.

k) Администратор ИТ-инфраструктуры.

Лицо, ответственное за параметризацию и предоставление доступа к инфраструктуре приложения. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению ИТ.

l) Архитектор ИТ-инфраструктуры.

Лицо, ответственное за проектирование технологической инфраструктуры, требуемой для предоставления услуг. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению ИТ.

m) Эксперт по ИТ-инфраструктуре.

Лицо ответственное за реализацию и поддержку технологической инфраструктуры. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению. Например, агенты, операторы, вспомогательный персонал, администраторы приложений, системные администраторы, для которых запущено приложение, группы аварийного восстановления и группы обработки и обеспечения безопасности инфраструктуры.

n) Эксперт в области законов и нормативных актов.

Лицо, знакомое с областью законодательства и регламентирующих норм, которое может предоставить детальную информацию о предметной области. Действующие субъекты, выступающие в этой роли, являются членами группы внешних экспертов.

o) Руководитель.

Лицо, ответственное за планирование и управление работой группы лиц, мониторинг их работы и принятие корректирующих мер в случае необходимости. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом, т.е. содействуют непрерывности бизнеса.

p) Владелец информации.

Лицо, отвечающее за определение, поддержку и утверждение порядка безопасного использования информации. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

Примечание - Одна и та же информация может использоваться несколькими приложениями, поэтому важно, чтобы защита информации в различных приложениях утверждалась владельцем информации в дополнение к владельцу приложения.

 

q) Владелец приложения.

Лицо, отвечающее за определение, поддержку и утверждение порядка безопасного использования приложения. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

r) Владелец процесса.

Лицо, отвечающее за определение, поддержку и утверждение порядка безопасного использования процесса. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

s) Менеджер проекта.

Лицо ответственное за планирование и координацию ресурсов, необходимых для достижения целей проекта в рамках запланированной цены, сроков и показателей качества. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

t) Архитектор безопасности.

Лицо, ответственное за разработку мер обеспечения безопасности в целях снижения уровня угроз безопасности. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

u) Поставщик.

Юридическое или физическое лицо, заключающее соглашение с приобретающей стороной о поставке продукта или услуги. Действующие субъекты, играющие эту роль, являются членами группы по управлению бизнесом и могут быть поддержаны представителями группы внешних экспертов.

v) Тестировщик.

Лицо, ответственное за внедрение и реализацию тестов в целях обеспечения соответствия развертываемых релизов и сервисов требованиям. Действующие субъекты, играющие эту роль, могут быть членами группы разработки, группы обеспечения качества или группы тестирования информационной безопасности.

w) Преподаватель.

Лицо, которое обучает людей. Физическое лицо, которое играет эту роль, может быть членом внутренней или внешней группы экспертов.

x) Пользователь.

Лицо, выполняющее одну или несколько задач с приложением. Действующие субъекты, выступающие в этой роли, являются членами группы пользователей.

7.6.4 Рекомендации

7.6.4.1 Общие положения

Информация для создания этого компонента должна поступать из бизнес-архитектуры приложения.

Как минимум каждая НСП должна включать в себя владельца приложения. Необходимо определить всех остальных действующих субъектов, взаимодействующих с приложением в течение жизненного цикла. Для каждого действующего субъекта должны быть указаны ожидаемые роли, обязанности и квалификация. Информация о требуемой квалификации должна поступать из компонента НСО "Репозиторий ролей, обязанностей и квалификаций".

Действующий субъект - это лицо или автоматизированный процесс, осуществляющий деятельность в течение жизненного цикла приложения или инициирующий взаимодействие с любым процессом, который выполняется в рамках приложения или на который это приложение влияет.

Дополнительные действующие субъекты могут быть записаны в НСП. Ниже приводится неполный список общих ролей и лиц, которые вовлечены (взаимодействуют напрямую или косвенно) в работу с приложениями:

7.6.4.2 Проектная группа

Проектная группа состоит из лиц, вовлеченных в проект приложения на этапе подготовки к работе или этапе эксплуатации жизненного цикла приложений, таких как архитекторы, аналитики, программисты и тестировщики.

Эти лица также несут ответственность за выбор элементов из НСО для создания или поддержки нормативной структуры приложения для проекта приложения.

7.6.4.3 Группа по эксплуатации

Группа по эксплуатации состоит из лиц, участвующих в управлении и сопровождении приложения на этапе эксплуатации в рамках жизненного цикла приложения, таких как системные администраторы, администраторы баз данных, сетевые администраторы или технические специалисты.