ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.7 Компонент: избранные МОБП для этапов жизненного цикла приложения

7.7.1 Назначение

Этот компонент документирует меры обеспечения безопасности, выбранные для приложения, чтобы упростить их утверждение, использование и верификацию, а также обмен данными между ними.

7.7.2 Описание

Меры обеспечения безопасности приложений - это методы, процессы и (или) процедуры, используемые для снижения рисков, появляющихся в организации в результате добавления конкретного приложения.

7.7.3 Содержание

Этот компонент должен предоставить список всех МОБП, выбранных для приложения. Каждая МОБП содержит подробную информацию. Дополнительную информацию см. также в ИСО/МЭК 27034-1 и ИСО/МЭК 27034-5.

7.7.4 Рекомендации

Это приложение должно постоянно контролироваться с целью анализа рисков в течение всего жизненного цикла приложения. Все риски должны быть выявлены и снижены в соответствии с целевым уровнем доверия приложения.

В результате выполнения этапов 1 и 2 ПМБП все МОБП выбираются из библиотеки МОБП организации для конкретного приложения в соответствии со следующими критериями:

a) целевой уровень доверия приложения;

b) требования организации к приложению;

c) конкретные контексты использования приложения и спецификации.

НСП хранит и документирует соответствующие МОБП.

Каждая МОБП предоставляет действия по обеспечению безопасности, которые должны выполняться проектной группой приложения для снижения определенной угрозы безопасности. Оно также предоставляет верификационное измерение, выполняемое группой по верификации, чтобы подтвердить, что соответствующие действия по обеспечению безопасности были успешно выполнены путем изучения соответствующих доказательств. Каждая МОБП также содержит указатели на конкретные этапы в жизненном цикле приложения, где выполняются указанные мероприятие и измерение.

Организация должна определить и одобрить МОБП до начала разработки. Тогда разработчикам не нужно будет создавать их для каждого нового проект приложения. Это гарантирует унифицированный подход организации к выполнению требований по обеспечению безопасности приложения.

Выбранные МОБП должны включать в себя как минимум все МОБП, которые группа НСО утвердила для нулевого уровня доверия приложения, определяемого как минимальный уровень доверия приложения, принимаемый организацией. МОБП, утвержденные для нулевого уровня доверия приложения, не должны изменяться проектной группой в ходе реализации проекта приложения.