ГОСТ Р ИСО/МЭК 27034-3-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений

5 Процесс менеджмента безопасности приложений

 

5.1 Общие положения

Процесс менеджмента безопасности приложений (ПМБП) - это общий процесс управления безопасностью всех приложений, используемых или разрабатываемых организацией.

Группа НСО отвечает за внедрение и поддержку ПМБП с использованием процесса менеджмента НСО [см. ИСО/МЭК 27034-2:2015 (пункт 5.4.3)]. Эта группа также несет ответственность за обеспечение применения ПМБП ко всем проектам приложений в организации.

Владелец приложения несет ответственность за обеспечение наличия ПМБП для проекта приложения (см. таблицу 3).

В рамках каждого проекта приложения руководитель проекта отвечает за реализацию и использование ПМБП в ходе реализации проекта (см. таблицу 3).

Процесс менеджмента безопасности приложения включает в себя пять этапов:

a) определение среды и требований приложения;

b) оценку рисков, связанных с безопасностью приложения;

c) создание и поддержку нормативной структуры приложения;

d) подготовку к работе и эксплуатацию приложения;

e) аудит безопасности приложения.

Первые три этапа ПМБП направлены на определение и подтверждение соответствующих мер обеспечения безопасности приложения (МОБП) для конкретного приложения. Учитывая, что безопасность на начальном этапе является основополагающим фактором безопасности приложения, оптимальной точкой для определения требований безопасности для проекта в области программного обеспечения является этап начального планирования. Определение требований безопасности на начальном этапе помогает проектным группам определять ключевые этапы и результаты, а также позволяет интегрировать безопасность таким образом, чтобы свести к минимуму любые нарушения планов и графиков.

Заключительные два этапа ПМБП направлены на внедрение и проверку МОБП.

ИСО/МЭК 27034 (все части) предоставляют компоненты, процессы и структуры, помогающие организации приобретать, внедрять и использовать приложения, которым можно доверять; при этом приемлемость затрат на обеспечение безопасности определяет сама организация. В частности, эти компоненты, процессы и структуры обеспечивают наглядное свидетельство того, что приложения достигают и поддерживают целевой уровень доверия приложения.

Как показано на рисунке 1, эти компоненты, процессы и структуры являются частью двух общих процессов:

a) процесса менеджмента нормативной структуры организации (НСО);

b) процесса менеджмента безопасности приложения (ПМБП).

 

 

- группа; - процесс;

- элемент; - действие

 

Рисунок 1 - Процесс менеджмента безопасности приложений

 

Указанные процессы используются в организации на разных уровнях и временных интервалах, а также имеют разные цели. Процесс менеджмента НСО (см. ИСО/МЭК 27034-2) представляет собой непрерывный процесс организационного уровня, а ПМБП используется для управления безопасностью в каждом конкретном проекте приложения.