ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.9 Компонент: жизненный цикл приложения

7.9.1 Назначение

Цель этого компонента - помочь проектной группе беспрепятственно интегрировать действия по обеспечению безопасности и верификационные измерения, определенные в МОБП, с действиями, происходящими в течение жизненного цикла приложения, с которым проектная группа уже знакома.

7.9.2 Описание

Жизненный цикл приложения является подмножеством эталонной модели жизненного цикла безопасности приложения [см. ИСО/МЭК 27034-1:2011 (подпункт 8.1.2.7)] в НСО. Жизненный цикл для конкретного проекта будет содержать только процессы, необходимые для проекта приложения. Например, проект, разрабатываемый внутри организации, не будет включать в себя процессы, связанные с аутсорсингом.

7.9.3 Содержание

Этот компонент НСП должен обеспечивать сопоставление жизненного цикла приложения с эталонной моделью жизненного цикла безопасности приложения.

7.9.4 Рекомендации

В организациях разные модели жизненного цикла зачастую используются разными группами разработчиков, в разных подразделениях и в разных проектах.

Поэтому МОБП, которые в НСО ссылаются на действия из стандартизированной эталонной модели жизненного цикла безопасности приложения, должны быть "переданы" до того, как будут сообщены проектным группам, чтобы их можно было интегрировать в привычную модель жизненного цикла каждой группы. НСО содержит этот перевод (также называемый "сопоставлением") для каждой из моделей жизненного цикла организации [см. ИСО/МЭК 27034-2:2015 (пункт 5.5.10)].

Процедура сопоставления, предоставляемая в этом компоненте, используется именно для этой цели. Это могут быть просто таблицы, такие как "Типы перечислений", приведенные в ИСО/МЭК ТС 27034-5-1.

При построении НСП приложения соответствующее отображение затем создается в НСП, сохраняя только этапы жизненного цикла и действия, относящиеся к конкретному проекту приложения.

Как эталонная модель, так и жизненный цикл определенного приложения уже рассматривались в ИСО/МЭК 27034-1:2011 (подпункт 8.1.2.7). Именно в различных процессах в жизненном цикле безопасности приложения, с которыми группа исполнения и группа верификации уже знакомы, выполняются действия и измерения, определенные МОБП. Так формируется ориентированное на процесс представление о мерах и действиях по обеспечению безопасности приложений и их взаимозависимости. Таким образом, предпочтительным подходом является плавная интеграция МОБП как неотъемлемой части жизненного цикла приложения, а не как действий по обеспечению безопасности, отличных от жизненного цикла.