ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

3 Термины и определения

 

В настоящем стандарте используются термины по ИСО/МЭК 27034-1, ИСО/МЭК 27034-2, ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.

ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации в следующих адресах:

- платформа ИСО для онлайн-просмотра: доступна по адресу http://www.iso.org/obp;

- Электропедия МЭК (IEC Electropedia): доступна по адресу http://www.electropedia.org/

3.1 аудит безопасности приложения (application security audit): Систематический, независимый и документированный процесс получения аудиторских доказательств при проверке действий в области безопасности приложения и его объективной оценки для определения степени выполнения критериев аудита, требуемых органом контроля безопасности приложений.

3.2 проверка безопасности приложения (application security verification): Процесс анализа и проверки результатов деятельности по обеспечению безопасности приложений путем выполнения верификационных измерений.

Примечания

1 Для организации требуемые элементы НСО и меры безопасности соответствуют спецификациям НСО и процессу менеджмента НСО.

2 Для приложения действия по обеспечению безопасности и связанные с ними действия по проверке и измерению могут быть частью МОБП.

 

3.3 критическая информация (critical information): Информация, которая в случае компрометации может привести к неприемлемому риску.

3.4 эксперт в предметной области (domain expert): Человек, который является экспертом в определенной области или теме.

3.5 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.

[Руководство ИСО 73:2009, статья 2.1]

Примечание - В настоящем стандарте используется термин "процесс" для описания управления рисками в целом. Элементы процесса менеджмента рисков называются "действиями".