ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

7.10 Информация, используемая приложением

7.10.1 Назначение

Цель этого компонента НСП состоит в том, чтобы упростить категоризацию безопасности информации/данных приложения и помочь проектной группе отобразить поток критической информации и выполнить оценку рисков безопасности приложения.

7.10.2 Описание

На основе классификации информации/данных приложения для каждой установленной роли определяется управление доступом к данным.

7.10.3 Содержание

Этот компонент предоставляет описание каждой значимой информационной группы приложения (пункт 7.10.4) с метаданными, описывающими категоризацию безопасности информации с точки зрения конфиденциальности, целостности и доступности.

7.10.4 Рекомендации

Понимание информации, которая проходит через приложение, является ключевым шагом для определения требований безопасности. Информация поступает из различных источников. В этом пункте рассматривается вся информация, используемая приложением, в том числе описание контекстов/процессов, код приложения, параметры приложения, пользовательские данные и т.д. Вся эта информация должна быть идентифицирована и классифицирована.

 

 

Рисунок 11 - Область безопасности приложений

 

В ИСО/МЭК 27034-1:2011 (подраздел 6.3) приводится общее определение информации, используемой приложением, эта информация сгруппирована (см. рисунок 11). Это представление не означает, что все элементы, находящиеся в указанной области, являются частью приложения. Скорее, эта схема говорит о том, что все эти элементы должны находиться под защитой, чтобы приложение было безопасным. К информации, подлежащей защите, относится:

a) Информация, определяемая бизнес-контекстом приложения.

Бизнес-контекст относится ко всем связанным с бизнесом лучшим практикам, правилам и ограничениям, вытекающим из сфер деловой активности, в которых приложение реализовано или эксплуатируется.

Бизнес-контекст может включать в себя критическую информацию, которая должна быть защищена (подраздел 7.2).

b) Информация, определяемая регулятивным контекстом приложения.

Информационный репозиторий регулятивного контекста приложения включает в себя только значимую информацию для этого приложения (подраздел 7.3).

1) Наборы законов, директив и правил, которые регламентируют или ограничивают использование приложения:

i) в регионах, где это приложение используется, эксплуатируется, поддерживается, доступно и (или) где его данные будут сохраняться или резервироваться;

ii) действующими субъектами, подключающимися к этому приложению и получающими доступ и (или) сохраняющими информацию из этих регионов.

c) Информация, определяемая процессами жизненного цикла приложения.

Информация, определяемая процессами жизненного цикла приложения, относится к описанию и результатам требуемых или существующих организационных процессов, используемых и выполняемых в течение жизненного цикла приложения и, возможно, подлежащих защите.

Этот информационный репозиторий жизненного цикла приложения содержит такую информацию, как:

1) роли, обязанности и квалификация всех вовлеченных действующих субъектов;

2) процесс, связанный с механизмом и соответствующими услугами, предоставляемыми приложением;

3) обучение заинтересованных сторон;

4) процессы аудита и присвоения квалификаций;

5) процессы реализации (разработка, управление проектом, сопровождение, контроль версий, тестирование и т.д.);

6) операционные процессы (эксплуатация, поддержка и т.д.).

d) Информация, включенная в процессы, связанные с приложением.

Информация, включенная в процессы, связанные с приложением, относится к обязательным или существующим организационным процессам, созданным или подверженным влиянию критических спецификаций приложения и критических данных, которые необходимо защищать.

1) Описание процессов использования и эксплуатации приложения, таких как:

i) процесс проверки;

ii) процесс распространения и установки/обновления приложения;

iii) процессы использования и управления;

iv) процессы обслуживания, ремонта и замены компонентов приложения и т.д.;

v) внештатные ситуации, процессы резервного копирования и восстановления;

vi) процессы распространения и развертывания;

vii) процессы, необходимые для приложения или те, на которые оно оказывает воздействие.

2) Роли, обязанности и квалификации.

3) Обучение заинтересованных сторон.

e) Информация, включенная в технологический контекст приложения.

Информация, включаемая в технологический контекст приложения и относящаяся к продукту и технологическим компонентам, в том числе их конфигурации и связанным процессам, поддерживающим приложение, может подлежать защите.

Как правило, к этой информации относятся данные, которые генерируются конкретным технологическим контекстом, используемым для удовлетворения потребностей бизнеса:

1) терминалы, сети и другие периферийные устройства;

2) операционные системы, элементы конфигурации и услуги;

3) разрешенные каналы связи и порты;

4) коммерческие и другие продукты, например системы управления базами данных (СУБД), используемые приложением и его технологической инфраструктурой;

5) процессы присвоения квалификаций и иные процессы, связанные с технологическим контекстом;

6) компоненты и продукты, используемые приложением, или находящиеся под его воздействием;

7) разрешенные устройства приложения;

8) операционная система, конфигурация и внешние услуги, необходимые для приложения;

9) транспортные и коммуникационные связи, разрешенные к использованию приложением и его технологической инфраструктурой;

10) физические и электрические характеристики среды приложения (например, операционный офис, серверные комнаты, поставщик облачных услуг и т.д.);

11) терминалы приложения (например, смартфон, планшет, ноутбук и т.д.).

f) Информация, включенная в спецификации приложения.

Информация, включенная в спецификации приложения, относится к описанию функциональных пакетов, данным конфигурации и процессам эксплуатации, которые могут подлежать защите, например:

1) спецификации клиентов приложения;

2) спецификация серверного и n-уровня приложения,

3) спецификации аппаратного обеспечения;

4) спецификации безопасности;

5) описания функциональных возможностей приложения;

6) спецификации клиентских терминалов;

7) спецификации системы управления бизнес-процессами.

g) Информация, включенная в роли и разрешения приложения.

Информация, включенная в роли и разрешения приложения, относится к информации об управлении идентификацией и разрешениях, которую, возможно, придется защищать, например:

1) данные по управлению идентификацией;

2) данные идентификации и аутентификации;

3) данные авторизации.

h) Информация, включенная в данные приложения.

Данные приложения относятся к информации приложения, которая может подлежать защите.

Примером таких данных являются идентификаторы сеанса, сгенерированные структурой приложения, чтобы облегчить предоставление сеанса пользователю. Следует учитывать, что эти данные могут быть неочевидны при наблюдении приложения/системы как черного ящика. Также это могут быть журналы, сгенерированные приложением, и данные GPS.

Данные, связанные с приложением, должны классифицироваться в соответствии с моделью классификации, используемой организацией, например: доступность, конфиденциальность, целостность.

1) данные конфигурации приложения;

2) исполняемый код приложения;

3) исходный код приложения;

4) компоненты библиотек и приложений;

5) документацию критически важных компонентов и функциональных особенностей приложения.

i) Информация, включенная в организационные и пользовательские данные приложения.

Организационные и пользовательские данные приложения относятся к информации, поступающей от организаций, которые реализуют или эксплуатируют приложение, включая данные, поступающие от пользователей, которые могут нуждаться в защите, такие как:

1) сертификаты (информация об открытом ключе);

2) секретные ключи;

3) транзакции;

4) журналы событий;

5) конфигурация;

6) данные кредитной карты или финансовые данные;

7) личные данные;

8) различные входные данные в приложении;

9) сертификаты;

10) особо важные данные;

11) персональные данные;

12) данные о пользовательской конфигурации