ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений
Введение
0.1 Общие положения
Системный подход к интеграции мер обеспечения безопасности на протяжении всего жизненного цикла приложений способствует обеспечению в организации надежной защиты информации, которая используется и хранится в приложениях.
ИСО/МЭК 27034, состоящий из нескольких частей, предоставляет описание структур и процессов для оказания помощи организациям в планомерной интеграции мер обеспечения безопасности на протяжении жизненного цикла приложений.
Настоящий стандарт содержит описание процессов, необходимых для менеджмента безопасности приложений, которые идентифицируются организацией как критическая информация.
Таблица 1
Обзор структуры ИСО/МЭК 27034
Область применения | Структура ИСО/МЭК 27034 | Описание |
Организация | Нормативная структура организации (НСО) | Единый централизованный репозиторий информации о безопасности приложений |
Процесс менеджмента НСО | Процесс сопровождения и постоянного улучшения НСО | |
Приложение | Нормативная структура приложения (НСП) | Репозиторий для всех мер обеспечения безопасности приложения |
Процесс менеджмента безопасности приложения | Процесс, основанный на оценке риска, который использует НСП для создания и валидации приложений |
Как показано в таблице 1, структура и процессы на уровне организации основаны на нормативной структуре организации (НСО). НСО, ее элементы и поддерживающие процессы определены в ИСО/МЭК 27034-2.
Описание структуры и процессов на уровне приложений приведено в разделах 5, 6 и 7 настоящего стандарта. Процесс менеджмента безопасности приложений (ПМБП) помогает проектной группе применять соответствующие части НСО к конкретному проекту приложения и официально регистрировать свидетельства результатов в нормативной структуре приложения (НСП).
Описание процессов определения требований приложения и его среды содержится в 6.1 - 6.5. Идентификация требований приложения и его среды, а также оценка рисков с точки зрения безопасности приложения описывается в 6.1. Оценка целевого уровня доверия приложения рассматривается в 6.2; создание и поддержание нормативной структуры приложения (НСП), а также меры обеспечения безопасности приложения (МОБП) определены в 6.3; процессы, относящиеся к реализации и эксплуатации приложения, приведены в 6.4. Наконец, в 6.5 содержится описание процесса проверки правильности реализации НСП и МОБП.
0.2 Назначение
Целью настоящего стандарта является определение требований и рекомендаций для процесса менеджмента безопасности приложения и нормативной структуры приложения <1>.
--------------------------------
<1> Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.
0.3 Целевая аудитория
0.3.1 Общие положения
Настоящий стандарт предоставляет лучшие практики для широкой аудитории и будет особенно полезен для следующих категорий лиц:
a) руководителей;
b) членов групп подготовки к работе и эксплуатации;
c) приобретающих сторон;
d) поставщиков;
e) аудиторов;
f) пользователей.
0.3.2 Руководители
Руководители - это лица, вовлеченные в процесс управления приложением. К руководителям относятся:
a) менеджеры по информационной безопасности, включая директора по информационной безопасности (Chief Information Security Officer, CISO);
b) руководители проектов;
c) менеджеры по продуктовой линейке;
d) менеджеры по развитию;
e) владельцы приложений;
f) руководители направления, включая руководителя по информационным технологиям, которые контролируют сотрудников.
Руководители обязаны:
a) обеспечивать, чтобы любые связанные с приложениями проекты, инициативы или процессы были основаны на результатах управления рисками;
b) гарантировать наличие надлежащих проверок информационной безопасности, как того требуют применимые политики и процедуры в области информационной безопасности;
c) осуществлять надзор за реализацией безопасного приложения;
d) информировать всех субъектов о проблемах безопасности, обучать их и осуществлять надзор;
e) обеспечивать баланс между затратами на внедрение и поддержанием безопасности приложений, учитывая риски и ценность этого приложения для организации;
f) обеспечивать соответствие стандартам, законам и нормативным актам согласно контексту приложения;
g) обеспечивать документирование политик и процедур безопасности для приложения;
h) курировать все планы, связанные с безопасностью приложения, во всей сети организации;
i) определять какие меры безопасности, а также верификационные измерения должны применяться и тестироваться;
j) утверждать целевой уровень доверия приложения в соответствии с контекстом, характерным для организации;
k) периодически проверять приложения на наличие слабых мест и угроз безопасности и предпринимать корректирующие и предупреждающие действия;
l) проверять аудиторские отчеты с рекомендациями по одобрению или отклонению приложений с точки зрения надлежащего выполнения необходимых мер защиты приложений;
m) гарантировать, что недостатки безопасности устраняются с помощью методов безопасного кодирования;
n) основывать свои решения на уроках, извлеченных из записей базы знаний.
0.3.3 Члены групп подготовки к работе и эксплуатации
Члены групп подготовки к работе и эксплуатации (проектная группа или команда приложения) - это лица, вовлеченные в проектирование, разработку и поддержку приложения на протяжение всего жизненного цикла. К членам групп подготовки к работе и эксплуатации относятся:
a) архитекторы;
b) аналитики;
c) программисты;
d) специалисты по тестированию;
e) ИТ-администраторы, в том числе системные администраторы, администраторы баз данных, сетевые администраторы и администраторы приложений.
В обязанности членов группы входит:
a) определение того, какие меры обеспечения безопасности приложения необходимо применить на каждом этапе жизненного цикла приложения и с какой целью;
b) определение того, какие меры необходимо реализовать в самом приложении;
c) сведение к минимуму влияния вводимых мер на процессы разработки, тестирования и документирования в течение жизненного цикла приложения;
d) обеспечение соответствия мер обеспечения безопасности необходимым требованиям;
e) получение доступа к инструментальным средствам и лучшим практикам с целью оптимизации процессов разработки, тестирования и документирования;
f) проведение экспертной оценки;
g) участие в планировании и разработке стратегии по приобретению программных средств;
h) организация мероприятий по утилизации остаточных элементов после завершения работы (например, управление имуществом/утилизация).
0.3.4 Приобретающие стороны
В эту категорию входят все лица, вовлеченные в приобретение продукта или услуги.
В обязанности приобретающих сторон входит:
a) установление деловых отношений с целью приобретения необходимых товаров и услуг (например, для объявления тендера, проведения оценки и заключения договоров);
b) подготовка запросов предложений, которые включают в себя описание требований к мерам обеспечения безопасности;
c) выбор поставщиков, которые соответствуют необходимым требованиям;
d) проверка доказательства мер обеспечения безопасности, применяемых аутсорсинговыми службами;
e) оценка продуктов, подтверждающая доказательства правильности внедрения мер обеспечения безопасности приложений.
0.3.5 Поставщики
В эту категорию входят все лица, вовлеченные в поставку продукта или услуги.
В обязанности поставщика входит:
a) соблюдение требований безопасности приложений, определенных в запросах предложений;
b) выбор надлежащих мер обеспечения безопасности приложений с учетом цены и требований, описанных в предложениях;
c) предоставление доказательств надлежащей реализации требуемых мер обеспечения безопасности в предлагаемых продуктах и услугах.
0.3.6 Аудиторы
Аудиторы - лица, которые должны:
a) понимать объем и процедуры, связанные с верификационными измерениями в отношении соответствующих мер обеспечения безопасности приложений;
b) обеспечить уверенность в повторяемости результатов аудита;
c) определить список верификационных измерений, которые будут свидетельствовать о том, что приложение достигло целевого уровня доверия приложения;
d) применять стандартизированные процессы аудита, основываясь на использовании свидетельств, поддающихся проверке, в соответствии с ИСО/МЭК 27034 (все части).
0.3.7 Пользователи
Пользователи должны быть уверены в том, что:
a) развертывание или использование приложения является безопасным;
b) приложение последовательно и своевременно принесет надежные результаты;
c) меры обеспечения безопасности приложений и соответствующие им верификационные измерения реализованы и функционируют надлежащим образом.
Подписаться на обновления