ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность приложений

Часть 1

Обзор и общие понятия

ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security — Part 1: Overview and concepts (IDT)

Издание официальное

Москва

Стандартинформ

2015

ГОСТ Р ИСО/МЭК 27034-1—2014

Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении» (ФГУП «ВНИИНМАШ»), Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык меящународного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 11 июня 2014 г. № 564-ст

4    Настоящий стандарт идентичен меящународному стандарту ИСО/МЭК 27034-1:2011 «Информационная технология. Методы обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия» (ISO/IEC 27034-1:2011 «Information technology — Security techniques — Application security — Part 1: Overview and concepts»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правипа применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8) Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя к Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

©Стандартинформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ИСО/МЭК 27005:2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (ISO/IEC 27005:2011. Information technology — Security techniques — Information security risk management)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000. ИСО/МЭК 27001. ИСО/МЭК 27002. ИСО/МЭК 27005. а также следующие термины с соответствующими определениями.

3.1    действующий субъект (actor): Лицо или процесс, осуществляющий деятельность во время жизненного цикла приложения или инициирующий взаимодействие с любым процессом, который обеспечивает или затрагивает приложение.

3.2    фактический уровень доверия (actual level of trust): Результат процесса аудита, обеспечивающий свидетельства, подтверждающие, что меры и средства контроля и управления безопасностью приложений, требуемые целевым уровнем доверия приложения, надлежащим образом реализованы, проверены и дают ожидаемые результаты.

3.3    приложение (application): Решение в области ИТ. включающее прикладное программное средство, прикладные данные и процедуры, предназначенные для содействия пользователям организации в осуществлении определенных задач или обработке конкретных видов задач ИТ посредством автоматизации процесса или функции бизнеса.

Примечание — Процессы бизнеса включают как людей. так и технологии

3.4    эталонная модель жизненного цикла безопасности приложений (application security life cycle reference model): Модель жизненного цикла, используемая в качестве эталона для введения мероприятий по обеспечению безопасности в процессы, связанные с менеджментом приложений, подготовкой к работе и эксплуатацией приложений, менеджментом инфраструктуры и аудитом приложений.

3.5    нормативная структура приложений; ANF (application normative framework — ANF): Совокупность нормативных элементов, выбранных из нормативной структуры организации и значимых для конкретного проекта приложения.

3.6    владелец приложения (application owner): Организационная роль, отвечающая за менеджмент. использование и обеспечение защиты приложения и его данных

Примечания

1    Владелец приложения принимает все решения, касающиеся безопасности приложения

2    Используемый в настоящем стандарте термин «владелец» является синонимом термина «владелец приложения*

3.7    проект приложения (application project): Попытка действий с определенными критериями начала и завершения, направленных на создание приложения в соответствии с заданными ресурсами и требованиями.

(ИСО/МЭК 12207:2008. определение 4 29. модифицированное специально для сферы действия приложений]

Примечание — Для целей ИСО/МЭК 27034 критерии начала и завершения таковы, что весь жизненный цикл приложения включен в проект приложения

3.8    мера и средство контроля и управления безопасностью приложения; ASC (application security control — ASC): Структура данных, содержащая четкое перечисление и описание видов деятельности по обеспечению безопасности и их соответствующего верификационного измерения, подлежащего выполнению в конкретный момент жизненного цикла приложения.

3.9    процесс менеджмента безопасности приложений; ASMP (application security management process — ASMP): Используемый организацией общий процесс менеджмента в отношении видов деятельности по обеспечению безопасности, действующих субъектов, артефактов и аудита каждого приложения.

3.10    прикладное программное средство (application software): Программное средство, предназначенное для содействия пользователям в осуществлении определенных задач или обработке конкретных видов задач, в отличие от программного средства, управляющего компьютером.

[ИСО/МЭК/ИИЭР 24765:2010. определение 3.130-1)

2

ГОСТ Р ИСО/МЭК 27034-1—2014

3.11    аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнении согласованных критериев аудита.

[ИСО 9000:2005. определение 3.9.1, обобщенно модифицированное)

3.12    среда (environment): Бизнес-контекст, регулятивный и технологический контексты, в которых используется приложение, включая все процессы, продукты, информацию и действующих субъектов, задействованных в приложении.

3.13    жизненный цикл (life cycle): Развитие системы, продукта, услуги, проекта или других изготовленных человеком объектов, начиная со стадии разработки концепции и заканчивая прекращением применения.

(ИСО/МЭК 12207:2008. определение 4.16]

3.14    модель жизненного цикла (life cycle model): Структура процессов и действий, связанных с жизненным циклом, организуемых на стадиях, которые также служат в качестве общей ссылки для установления связей и взаимопонимания сторон.

(ИСО/МЭК 12207:2008, определение 4.17]

3.15    сопровождение (maintenance): Любое изменение приложения, осуществленное после его выпуска.

Пример — Исправление ошибок, добавление функциональных возможностей, улучшение функционирования, обеспечивающие уверенность в функциональности приложения.

3.16    нормативная структура организации; ONF (organization normative framework — ONF): Внутренняя структура всей организации, включающая совокупность нормативных процессов и элементов безопасности приложений.

3.17    группа нормативной структуры организации; группа ONF (ONF Committee): Организационная роль в нормативной структуре организации, отвечающая за сопровождение и санкционирование компонентов, связанных с безопасностью приложений.

3.18    операционная среда (operating environment): Внешнее окружение программы, которое существует или предполагается во время ее выполнения.

(ИСО/МЭК 2382-7:2000, определение 07.11.07]

3.19    продукция (product): Результат процесса.

(ИСО 9000:2005. определение 3.4.2]

3.20    безопасное приложение (secure application): Приложение, фактический уровень доверия которого равен целевому уровню доверия, который определяется организацией, использующей приложение.

3.21    целевой уровень доверия (targeted level of trust): Обозначение или метка совокупности мер и средств контроля и управления безопасностью приложений, сочтенных необходимыми владельцем приложения для снижения связанного с конкретным приложением риска до допустимого (или приемлемого) уровня после анализа риска безопасности приложения.

3.22    пользователь (user): Лицо, использующее или эксплуатирующее что-то.

(Краткий оксфордский словарь английского языка]

Примечание — Для целей настоящего стандарта термин «пользователь» обозначает не только конечного пользователя, но также операционные роли и роли сопровождения, такие как системный администратор и администратор баз данных

3.23    валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования, предназначенные для конкретного использования или применения, выполнены.

Примечания

1    Термин «валидирован» используется для обозначения соответствующего статуса

2    Условия применения могут быть реальными или смоделированными

(ИСО 9000:2005. определение 3.8.5]

3    На языке неспециалиста «валидация» означает «Правильно ли построено приложение⁷»

3.24    верификация (verification): Подтверждение посредством представления объективных свидетельств того, что установленные требования были выполнены.

3

Примечания

1    Термин «верифицирован* используют для обозначения соответствующего статуса

2    Деятельность по подтверждению требований может включать в себя осуществление альтернативных расчетов. сравнение спецификации на новый проект с аналогичной документацией на апробированный проект, проведение испытаний и демонстраций и анализ документов до их выпуска

(ИСО 9000:2005, определение 3.8 4]

3    На языке неспециалиста «верификация» означает «Корректно ли построено приложение’»

4    Сокращения

В настоящем стандарте применены следующие сокращения:

ANF — application normative (нормативная структура приложений):

ASC — application security control (мера и средство контроля и управления безопасностью приложений);

ASMP — application security management process (процесс менеджмента безопасности приложений);

COTS — commercial-off-the-shelf (готовый к использованию коммерческий продукт);

ONF — organization normative framework (нормативная структура организации);

XML — extended markup language (расширяемый язык разметки);

ИКТ — информационно-коммуникационная технология (Information and Communication Technology — ICT);

СМИБ — система менеджмента информационной безопасности (Information Security Management System — ISMS).

5    Структура ИСО/МЭК 27034

ИСО/МЭК 27034 состоит из шести частей. В части 1 представлены обзор и общие понятия. Данной части вполне достаточно для оценивания необходимости реализации ИСО/МЭК 27034 в организации, а также для презентации и обучения. Для самой же реализации ИСО/МЭК 27034 данной части недостаточно.

Организациям, желающим применять ИСО/МЭК 27034. необходимы части 2. 3 и 4. Они содержат подробные описания всех представленных в данной части ИСО/МЭК 27034 понятий.

ИСО/МЭК 27034-5 будет особенно полезен организациям, заинтересованным в приобретении или распространении мер и средств контроля и управления безопасностью приложений, так как он предоставляет стандартную структуру данных и стандартный протокол для распространения мер и средств контроля и управления. Например, крупная организация может быть заинтересована в автоматическом распространении и обновлении мер и средств контроля и управления для всех своих подразделений.

ИСО/МЭК 27034-6 содержит примеры мер и средств контроля и управления для конкретных требований безопасности приложений, эта часть будет полезна организациям, желающим реализовать ИСО/МЭК 27034, или организациям, которые хотят разработать определенные меры и средства контроля и управления безопасностью приложений.

Содержание шести частей ИСО/МЭК 27034:

Часть 1 — Обзор и общие понятия

В части 1 представлен обзор безопасности приложений. Она знакомит с определениями, общими понятиями, принципами и процессами, касающимися обеспечения безопасности приложений.

Часть 2 — Нормативная структура организации

В части 2 представлено подробное описание нормативной структуры организации, ее компонентов и процессов менеджмента на уровне организации. В данной части объясняются взаимосвязи этих процессов, связанные с ними мероприятия и способы поддержания ими процесса менеджмента безопасности приложений. В данной части описывается, как организация должна реализовывать ИСО/МЭК 27034 и интегрировать его со своими существующими процессами.

4

ГОСТ Р ИСО/МЭК 27034-1—2014

Часть 3 — Процесс менеджмента безопасности приложений

В части 3 представлено подробное описание процессов, вовлеченных в проект приложения: определение требований и среды приложения, оценка риска безопасности приложения, создание и поддержка нормативной структуры приложения, реализация и введение в действие приложения и валидация его безопасности на протяжении всего жизненного цикла. В данной части объясняются взаимосвязи этих процессов, их функционирование и взаимозависимости, а также введение ими безопасности в проект приложения.

Часть 4 — Валидация безопасности приложений

В части 4 представлено углубленное описание процесса валидации безопасности приложений и процесса сертификации, измеряющего фактический уровень доверия приложения и сравнивающего его с целевым уровнем доверия, который заранее выбирается организацией.

Часть 5 — Структура данных управления безопасностью протоколов и приложений

В части 5 представлены протоколы и XML-схема для мер и средств контроля и управления безопасностью приложений (ASC) на основе ИСО/МЭК ТУ 15000 «Расширяемый язык разметки для электронного бизнеса (ebXML)» . Данная часть может быть использована для содействия организациям в валидации структуры данных ASC и других компонентов ИСО/МЭК 27034. а также для поддержки распространения. обновления и использования ASC.

Часть 6 — Руководство по безопасности для конкретных приложений

В части 6 представлены примеры ASC, приспособленных к конкретным требованиям безопасности приложений.

6 Введение в безопасность приложений

6.1    Общая информация

Обеспечение безопасности приложений — это процесс применения мер и средств контроля и управления и измерений к приложениям организации с целью осуществления менеджмента риска, возникающего в результате их использования.

Меры и средства контроля и управления и измерения могут применяться к самому приложению (его процессам, компонентам, программным средствам и результатам), его данным (конфигурационным данным, данным пользователей, данным организации) и ко всей технологии, процессам и действующим субъектам, вовлеченным в жизненный цикл приложения.

6.2    Безопасность приложений в сравнении с безопасностью программных средств

Приложение — это решение в области ИТ. включающее программное средство (см. 3.3). Таким образом, безопасность приложений является более широким понятием, охватывающим безопасность программных средств.

6.3    Сфера действия безопасности приложений

6.3.1 Общие сведения

Безопасность приложений обеспечивает защиту критических данных, вычисляемых, используемых. хранимых и передаваемых приложением, как требуется организации. Эта защита обеспечивает уверенность не только в доступности, целостности и конфиденциальности данных, но также в неотказу-емости и аутентификации пользователей, имеющих к ним доступ. Критичность данных и иных активов должна определяться организацией посредством процесса оценки риска безопасности.

Нуждающиеся в защите критические данные также могут представлять собой исходный код приложения. двоичный код и исполняемый код.

На рисунке 2 показано графическое представление сферы действия безопасности приложений в виде области, ограниченной пунктирными линиями.

Это представление не означает, что все элементы в показанной выше сфере действия являются частью приложения, а говорит о том. что все эти элементы требуют защиты для обеспечения безопасности приложения. Таким образом, сфера действия безопасности приложения является более широкой. чем сфера действия самого приложения. Приведенная ниже таблица иллюстрирует это отличие.

Бизнес-контекст Л п Регулятивный контекст ______________________J 1______________________ | Процессы жизненного цикла приложений Процессы, связанные с приложениями Технологический контекст Спецификации приложений Прикладные данные Данные организации и пользователей Роли и полномочия

Сфера дсистпим безопасности приложений

Рисунок 2 — Сфера действия безопасности приложений Таблица 1— Сфера действия приложений в сравнении со сферой действия безопасности приложений

Элементы В сфере действия приложений В сфере действия безопасности приложений Данные организации и пользователей (6.3.9) • Прикладные данные (6.3.8) • • Роли и полномочия (6.3.10) • • Спецификации приложений (6.3.7) • • Технологический контекст (6.3.6) • Процессы, связанные с приложениями (6.3.5) • Процессы жизненного цикла приложений (6.3.4) • Бизнес-контекст (6.3.2) • Регулятивный контекст (6.3.3) •

Приведенные ниже данные и процессы находятся в сфере действия безопасности приложений и должны быть защищены.

6.3.2    Бизнес-контекст

К бизнес-контексту относятся все связанные с бизнесом лучшие практические приемы, предписания и ограничения, вытекающие из сферы бизнеса организации.

6.3.3    Регулятивный контекст

К регулятивному контексту относятся все законы, предписания и общие правила, вытекающие из места ведения бизнеса или юрисдикции, которые влияют на функциональные возможности приложения или использование его данных (например, риски в результате различия национальных законов в странах, где будет использоваться одно и то же приложение).

6.3.4    Процессы жизненного цикла приложений

Должна обеспечиваться защита всех необходимых или существующих процессов организации, вовлеченных в жизненный цикл приложений, таких как:

a)    процессы обучения, аудита и аттестации;

b)    процессы реализации (разработка, менеджмент проектов, сопровождение, контроль версий, тестирование и т. д );

c)    операционные процессы

6

ГОСТ Р ИСО/МЭК 27034-1—2014

6.3.5    Процессы, связанные с приложениями

Должна обеспечиваться защита всех необходимых или существующих процессов организации, затрагиваемых важными спецификациями и критическими данными приложений, таких как:

a)    процессы использования и менеджмента;

b)    процессы сопровождения и резервного копирования;

c)    процессы распространения и развертывания;

d)    процессы, на которые влияют приложения или которые требуются приложениям.

6.3.6    Технологический контекст

Должна обеспечиваться защита всех продуктов и технологических компонентов, поддерживающих важные спецификации или критические данные, таких как:

a)    терминалы, сети и иные разрешенные периферийные устройства;

b)    операционная система, конфигурация и сервисы;

c)    разрешенные каналы связи и порты;

d)    COTS и иные продукты, такие как системы управления базами данных (СУБД), используемые приложениями, и их технологическая инфраструктура;

e)    модификация и иные процессы, связанные с технологическим контекстом;

О продукты, на которые оказывают влияние приложения или которые используются приложениями.

6.3.7    Спецификации приложений

Должна обеспечиваться защита от несанкционированной модификации всех спецификаций приложений. таких как:

a)    спецификации аппаратных средств;

b)    спецификации безопасности;

c)    функциональные возможности приложений;

d)    спецификации терминала клиента;

e)    спецификации операционного отдела.

6.3.8    Прикладные данные

Должна обеспечиваться защита всей критической информации приложений, такой как:

a)    конфигурационные данные приложений;

b)    двоичный код приложений;

c)    исходный код приложений;

d)    компоненты приложений и библиотек;

e)    документация важнейших компонентов и функциональных возможностей приложений.

6.3.9    Данные организации и пользователей

Должна обеспечиваться защита всей критической информации, касающейся организации и пользователей, такой как:

a)    сертификаты:

b)    секретные ключи;

c)    необходимые для целевой задачи данные;

d)    персональные данные:

e)    пользовательские данные конфигурации.

6.3.10    Роли и полномочия

Должна быть обеспечена защита всей критической информации по управлению идентификацией и полномочиями, такой как:

a)    данные по управлению идентификацией;

b)    идентификационные и аутентификационные данные;

c)    данные авторизации.

6.4 Требования безопасности приложений

6.4.1 Источники требований безопасности приложений

Согласно ИСО/МЭК 27005. требования безопасности приложений идентифицируются посредством оценки риска и обработки риска и диктуются такими факторами, как спецификации приложений, целевая среда приложений (бизнес-контекст, регулятивный и технологический контексты), критические данные и выбор, который делает владелец приложений.

Функциональные требования безопасности диктуют, какие функциональные возможности безопасности будут реализованы в приложении. Нефункциональные требования безопасности направлены

7

ГОСТ Р ИСО/МЭК 27034-1—2014

Содержание

0.1 Общая информация..............................................................IV

0.2 Назначение.....................................................................IV

0.3 Целевая аудитория................................................................V

0.4 Принципы......................................................................VII

0.5 Связь с другими международными стандартами......................................VIII

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Термины и определения...............................................................2

4    Сокращения.........................................................................4

5    Структура ИСО/МЭК 27034.............................................................4

6    Введение в безопасность приложений...................................................5

6.1    Общая информация...............................................................5

6.2    Безопасность приложений в сравнении с безопасностью программных средств..............5

6.3    Сфера действия безопасности приложений...........................................5

6.4    Требования безопасности приложений................................................7

6.5    Риск............................................................................8

6.6    Расходы на безопасность...........................................................9

6.7    Целевая среда...................................................................9

6.8    Меры и средства контроля и управления и их цели....................................10

7    Общие процессы ИСО/МЭК 27034......................................................10

7.1    Компоненты, процессы и структуры.................................................10

7.2    Процесс менеджмента ONF........................................................10

7.3    Процесс менеджмента безопасности приложений.....................................10

8    Общие понятия.....................................................................13

8.1    Нормативная структура организации................................................13

8.2    Оценка риска безопасности приложений............................................ 29

8.3    Нормативная структура приложений................................................30

8.4    Подготовка к работе и эксплуатация приложений......................................32

8.5    Аудит безопасности приложений....................................................35

Приложение А (справочное) Пример сопоставления существующего процесса разработки

с ИСО/МЭК 27034 ........................................................ 38

Приложение В (справочное) Сопоставление ASC существующих стандартов ...................52

Приложение С (справочное) Сопоставление процесса менеджмента риска из ИСО/МЭК 27005

с ASMP................................................................ 61

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации...........................63

Библиография....................................................................... 64

Введение

0.1 Общая информация

Организации должны обеспечивать защиту своей информации и технологических инфраструктур, чтобы сохранять свой бизнес. Традиционно это происходило на уровне ИТ путем защиты периметра и таких компонентов технологических структур, как компьютеры и сети. Но этого оказывалось недостаточно.

Кроме того, организации все больше стремятся обеспечивать свою защиту на уровне корпоративного управления, используя формализованные, протестированные и проверенные системы менеджмента информационной безопасности (СМИБ). Системный подход способствует эффективности СМИБ, как описано в ИСО/МЭК 27001.

Однако в настоящее время организации сталкиваются с постоянно растущей потребностью защиты своей информации на уровне приложений.

Организациям необходимо обеспечивать защиту приложений от уязвимостей, которые могут быть свойственны самому приложению (например, дефекты программных средств), могут появляться в течение жизненного цикла приложений (например, в результате изменений приложения) или возникать в результате использования приложений в не предназначенных для них условиях.

Системный подход к усиленному обеспечению безопасности приложений обеспечивает свидетельства адекватной защиты информации, используемой или хранимой приложениями организации.

Приложения могут быть получены путем внутренней разработки, аутсорсинга или покупки готового стандартного продукта. Приложения могут быть также получены путем комбинации этих подходов, что может привести к иным последствиям в плане безопасности, требующим рассмотрения и управления.

Примерами приложений являются кадровые системы, финансовые системы, системы обработки текстов, системы менеджмента взаимодействия с клиентами, межсетевые экраны, антивирусные системы и системы обнаружения вторжений.

На протяжении своего жизненного цикла безопасное приложение проявляет необходимые характеристики качества программного средства, такие как предсказуемое исполнение и соответствие, а также выполнение требований безопасности с точки зрения разработки, менеджмента, технологической инфраструктуры и аудита. Для создания надежных приложений, которые не увеличивают подверженность риску выше допустимого или приемлемого уровня остаточного риска и поддерживают эффективную СМИБ. требуются процессы и практические приемы усиленной безопасности, а также квалифицированные лица для их выполнения.

Кроме того, безопасное приложение учитывает требования безопасности, вытекающие из типа данных, целевой среды (бизнес-контекст, нормативный и технологический контексты), действующих субъектов и спецификаций¹^ приложений. Должна существовать возможность получения свидетельств, доказывающих, что допустимый или приемлемый уровень остаточного риска достигнут и поддерживается.

0.2 Назначение

Целью ИСО/МЭК 27034 является содействие организациям в планомерной интеграции безопасности на протяжении жизненного цикла приложений посредством:

a)    предоставления общих понятий, принципов, структур, компонентов и процессов;

b)    обеспечения процессно-ориентированных механизмов для установления требований безопасности. оценки рисков безопасности, присвоения целевого уровня доверия и выбора соответствующих мер и средств контроля и управления безопасностью, а также верификационных мер;

c)    предоставления рекомендаций для установления критериев приемки для организаций, осуществляющих аутсорсинг разработки или оперирования приложениями, и для организаций, приобретающих приложения у третьей стороны;

d)    обеспечения процессно-ориентированных механизмов для определения, формирования и сбора свидетельств, необходимых для демонстрации того, что их приложения безопасны для использования в определенной среде;

e)    поддержки общих концепций, определенных в ИСО/МЭК 27001, и содействия соответствующей реализации информационной безопасности, основанной на менеджменте риска;

¹¹ Спецификация — документ, устанавливающий требования (ГОСТ ISO 9000-2011. пункт 3 7.3)

ГОСТ Р ИСО/МЭК 27034-1—2014

0 предоставления структуры, содействующей реализации мер и средств контроля и управления безопасностью, определенных в ИСО/МЭК 27002 и других стандартах.

ИСО/МЭК 27034:

a)    применяется к программным средствам, лежащим в основе приложений, и к факторам, способным влиять на их безопасность, таким как данные, технология, процессы жизненного цикла приложений, процессы поддержки и действующие субъекты;

b)    применяется к организациям любого типа и величины (например, к коммерческим предприятиям. государственным учреждениям, некоммерческим организациям), подвергающимся рискам, связанным с приложениями.

исо/мэк 27034 целшодкдаддяе!:

a)    рекомендации по физической безопасности и безопасности сети;

b)    типы измерения или меры и средства контроля и управления;

c)    спецификации безопасного кодирования для любого языка программирования.

ИСО/МЭК 27034 не является:

a)    стандартом по разработке прикладных программ;

b)    стандартом по менеджменту проектов приложений;

c)    стандартом, касающимся жизненного цикла развития программных средств.

Указанные в ИСО/МЭК 27034 требования и процессы предназначены не для реализации по отдельности, а скорее для интеграции в существующие процессы организации. Поэтому организации должны сопоставлять свои существующие процессы и структуры с теми, которые предлагает ИСО/МЭК 27034. облегчая, таким образом, осуществление применения ИСО/МЭК 27034

В приложении А представлен пример того, как существующий процесс разработки программных средств можно сопоставить с некоторыми компонентами и процессами ИСО/МЭК 27034. В общем, организация в рамках любого жизненного цикла развития должна выполнить сопоставление, описанное в приложении А, и добавить любые недостающие компоненты и процессы, которые необходимы для соответствия ИСО/МЭК 27034.

0.3 Целевая аудитория

0.3.1 Общие сведения

ИСО/МЭК 27034 полезен для следующих групп лиц при осуществлении ими своих обозначенных организационных ролей:

a)    руководителей;

b)    членов групп подготовки к работе и эксплуатации;

c)    лиц. отвечающих за приобретение;

d)    поставщиков;

e)    аудиторов;

0 пользователей.

0.3.2 Руководители

Руководители — это лица, задействованные в менеджменте приложений в течение их полного жизненного цикла. Применяемые этапы жизненного цикла приложений включают этапы подготовки к работе и этапы функционирования. К руководителям относятся:

a)    ответственные за информационную безопасность:

b)    руководители проектов;

c)    администраторы;

d)    ответственные за приобретение программных средств;

e)    руководители разработки программных средств;

f)    владельцы приложений;

д) руководители среднего звена, которые руководят сотрудниками.

В обязанности руководителей входит:

a)    обеспечить баланс между стоимостью реализации и поддержанием безопасности приложений по отношению к рискам и представляемой ценностью приложений для организации;

b)    проверять рекомендации аудиторских отчетов относительно принятия или отклонения достигаемого и поддерживаемого приложением целевого уровня доверия;

c)    обеспечивать уверенность в соблюдении стандартов, законов и предписаний на основе регулятивного контекста приложения (см. 8.1.2.2);

d)    осуществлять надзор за реализацией безопасного приложения;

V

е) санкционировать целевой уровень доверия в соответствии со специфическим контекстом организации;

О определять, какие меры и средства контроля и управления безопасностью приложений, а также соответствующие верификационные измерения должны реализовываться и тестироваться;

д)    сводить к минимуму расходы на верификацию безопасности приложений;

h) документально оформлять процедуры и политики безопасности для приложений;

I) обеспечивать информирование, обучение и надзор за обеспечением безопасности в отношении всех действующих субъектов;

j)    вводить надлежащие формы допуска по информационной безопасности, которые требуют применяемые процедуры и политики информационной безопасности;

k)    курировать все планы, связанные с системами безопасности во всей структуре организации.

0.3.3 Члены групп подготовки к работе и эксплуатации

Члены групп подготовки к работе и эксплуатации (общеизвестные как группы проекта) — это лица, вовлеченные в проектирование, разработку и поддержку приложений на протяжении всего их жизненного цикла. К ним относятся:

a)    разработчики архитектуры;

b)    аналитики;

c)    программисты;

d)    специалисты по тестированию;

е)    системные администраторы;

О администраторы баз данных;

д)    сетевые администраторы:

h) технический персонал.

Члены групп подготовки к работе и эксплуатации должны:

a)    знать, какие меры и средства контроля и управления должны применяться на каждом этапе жизненного цикла приложений и по какой причине;

b)    знать, какие меры и средства контроля и управления должны быть реализованы в самом приложении;

c)    сводить к минимуму влияние вводимых мер и средств контроля и управления безопасностью на мероприятия по разработке, тестированию и документальному оформлению в течение жизненного цикла приложений;

d)    проверять соответствие введенных мер и средств контроля и управления безопасностью приложений требованиям соответствующих измерений;

е)    иметь доступ к инструментальным средствам и лучшим практическим приемам для рациональной разработки, тестирования и документирования;

0 способствовать экспертной оценке;

д) принимать участие в планировании и разработке стратегии приобретения;

h) устанавливать деловые отношения для получения необходимых товаров и услуг (например, в отношении тендера, оценки и заключения договоров);

О организовывать удаление элементов, оставшихся после завершения работы (например, управление имуществом / удаление).

0.3.4 Лица, отвечающие за приобретение

К лицам, отвечающим за приобретение, относятся все лица, вовлеченные в процесс приобретения продуктов или услуг.

Лица, отвечающие за приобретение, должны:

a)    подготавливать запрос предложений, включающий требования к мерам и средствам контроля и управления безопасностью:

b)    выбирать поставщиков, соответствующих заданным требованиям:

c)    проверять свидетельства применения мер и средств контроля и управления безопасностью услуг на основе аутсорсинга;

d)    оценивать продукты, проверяя свидетельства надлежащей реализации мер и средств контроля и управления безопасностью приложений.

0.3.5 Поставщики

К поставщикам относятся лица, вовлеченные в процесс поставки продуктов или услуг.

Поставщики должны:

а) выполнять требования безопасности приложений, представленные в запросах предложений;

VI

ГОСТ Р ИСО/МЭК 27034-1—2014

b)    подбирать соответствующие заявленным требованиям меры и средства контроля и управления безопасностью приложений для предложений с указанием их стоимости;

c)    представлять свидетельства надлежащей реализации требуемых мер и средств контроля и управления безопасностью приложений в предлагаемых продуктах или услугах.

0.3.6 Аудиторы

Аудиторы — лица, которые должны:

a)    понимать обьем и процедуры, вовлеченные в верификационные измерения в отношении соответствующих мер и средств контроля и управления;

b)    обеспечивать уверенность в повторяемости результатов аудита;

c)    устанавливать список верификационных измерений, создающих свидетельства того, что приложение достигло целевого уровня доверия, требуемого руководством;

d)    применять стандартизированные процессы аудита, основанные на использовании свидетельств. поддающихся проверке.

0.3.7 Пользователи

Пользователи — лица, которые должны:

a)    быть уверенными в том. что использование или развертывание приложения является безопасным:

b)    быть уверенными в том, что приложения последовательно и своевременно создают надежные результаты;

c)    быть уверенными в том. что меры и средства контроля и управления безопасностью приложений и соответствующие верификационные измерения установлены и функционируют надлежащим образом.

0.4 Принципы

0.4.1 Безопасность является требованием

Требования безопасности должны быть определены и проанализированы для каждого этапа жизненного цикла приложений, подробно рассмотрены и управляемы на постоянной основе.

Требования безопасности приложений (см. 6.4) должны трактоваться таким же образом, как и требования функциональных возможностей, качества и удобства в эксплуатации (см. ИСО/МЭК 9126. где представлен пример модели качества). Кроме того, должны быть введены связанные с безопасностью требования в отношении соответствия установленным пределам остаточного риска.

Согласно ИСО/МЭК/ИИЭР 29148 требования должны быть необходимыми, обобщенными, точно выраженными, последовательными, полными, лаконичными, осуществимыми, прослеживаемыми и поддающимися проверке. Эти же характеристики относятся к требованиям безопасности. В документации проектов приложений слишком часто встречаются нечеткие требования, такие как «Разработчик должен обнаруживать все значимые риски безопасности для приложения».

0.4.2 Безопасность приложений зависит от контекста

На безопасность приложений влияет определенная целевая среда Вид и масштаб требований безопасности приложений определяются рисками, которым подвергается приложение. Риски же зависят от вида контекста. Существует три вида контекста:

a)    бизнес-контекст: конкретные риски, проистекающие из сферы бизнеса организации (телефонная компания, транспортная компания, государственное учреждение и т. д.);

b)    регулятивный контекст: конкретные риски, проистекающие из местоположения бизнеса организации (права на интеллектуальную собственность и лицензирование, ограничения на криптографическую защиту, авторское право, законы и постановления, законы об обеспечении приватности и т. д.);

c)    технологический контекст: конкретные риски, проистекающие из технологий, используемых в бизнесе организации [реинжениринг. безопасность встроенных инструментальных средств, защита исходного кода программы, использование программы, заранее скомпилированной третьей стороной, тестирование безопасности, тестирование на проникновение, граничная проверка, проверка кода программы. среда информационно-коммуникационной технологии (ИКТ). в которой работает приложение, конфигурационные файлы и некомпилированные данные, привилегии операционной системы для инсталляции и/или функционирования, техническое обслуживание, безопасное распространение и т. д ).

Технологический контекст охватывает технические спецификации приложений (функциональные возможности безопасности, безопасные компоненты, онлайновые платежи, надежные контрольные журналы, криптография, управление полномочиями и т. д.).

VII

Организация может утверждать, что приложение безопасно, но это утверждение действительно только для данной конкретной организации в ее особом бизнес-контексте, регулятивном и технологическом контекстах. Если, например, меняется технологическая инфраструктура приложения или приложение используется для таких же целей в другой стране, то этот новый контекст может влиять на требования безопасности и целевой уровень доверия Текущие меры и средства контроля и управления безопасностью приложений могут уже неадекватно учитывать новые требования безопасности, и приложение может больше не быть безопасным.

0.4.3 Соответствующие инвестиции в обеспечение безопасности приложений

Затраты на применение мер и средств контроля и управления безопасностью приложений и проведение аудиторских измерений должны быть соразмерны целевому уровню доверия (см. 8.1.2.6.4), требуемого владельцем приложения или руководством

Эти затраты могут считаться инвестицией, поскольку они уменьшают расходы, обязанности владельца приложений и правовые последствия за нарушение безопасности.

0.4.4 Безопасность приложений должна демонстрироваться

Процесс аудита приложений в ИСО/МЭК 27034-1 (см. 8.5) использует поддающиеся проверке свидетельства, обеспечиваемые мерами и средствами контроля и управления безопасностью приложений (см. 8.1.2.6.5).

Приложение не может быть обьявлено безопасным, если аудитор не согласен с тем, что подтверждающие свидетельства, генерируемые верификационными измерениями применяемых мер и средств контроля и управления безопасностью приложений, демонстрируют достижение целевого уровня доверия, требуемого руководством

0.5 Связь с другими международными стандартами

0.5.1 Общие сведения

На рисунке 1 показана взаимосвязь ИСО/МЭК 27034 с другими международными стандартами.

Рисунок 1 — Взаимосвязь ИСО/МЭК 27034 с другими международными стандартами

0.5.2 ИСО/МЭК 27001, Системы менеджмента информационной безопасности. Требования

ИСО/МЭК 27034 способствует реализации рекомендаций ИСО/МЭК 27001 в сфере, ограниченной безопасностью приложений. В частности, используются следующие подходы:

a)    систематический подход к менеджменту безопасности;

b)    подход процесса «Планирование—Осуществление—Проверка—Действие»,

c)    реализация информационной безопасности на основе менеджмента риска

ГОСТ Р ИСО/МЭК 27034-1—2014

0.5.3 ИСО/МЭК 27002, Свод норм и правил менеджмента информационной безопасности

ИСО/МЭК 27002 предоставляет практические приемы, которые организация может реализовать в качестве мер и средств контроля и управления безопасностью приложений, как предлагает ИСО/МЭК 27034, Наибольший интерес представляют меры и средства контроля и управления безопасностью из следующих разделов ИСО/МЭК 27002:2005:

a)    раздел 10: Менеджмент коммуникаций и работ:

b)    раздел 11: Управление доступом:

c)    раздел 12: Приобретение, разработка и эксплуатация информационных систем.

0.5.4 ИСО/МЭК 27005, Менеджмент риска информационной безопасности

ИСО/МЭК 27034 способствует реализации предлагаемого ИСО/МЭК 27005 процесса менеджмента риска в сфере, ограниченной безопасностью приложений. В приложении С настоящего стандарта приводится краткое описание процесса менеджмента риска.

0.5.5 ИСО/МЭК 21827, Проектирование безопасности систем. Модель зрелости процесса* (SSE-CMM⁶)

ИСО/МЭК 21827 предоставляет базовые практические приемы проектирования безопасности, которые организация может реализовать в качестве мер и средств контроля и управления безопасностью приложений, как предполагает ИСО/МЭК 27034 Кроме того, процессы ИСО/МЭК 27034 способствуют достижению некоторых возможностей процессов, определяющих уровни возможностей процессов по ИСО/МЭК 21827.

0.5.6 ИСО/МЭК 15408-3, Критерии оценки безопасности информационных технологий. Часть 3: Требования доверия к безопасности

ИСО/МЭК 15408-3 предоставляет требования и элементы действий, которые организация может реализовать в качестве мер и средств контроля и управления безопасностью приложений, как предполагает ИСО/МЭК 27034.

0.5.7 ИСО/МЭК ТО 15443-1, Основы доверия к безопасности информационных технологий. Часть 1: Обзор и основы, и ИСО/МЭКТ015443-3, Основы доверия кбезопасности информационных технологий. Часть 3: Анализ методов обеспечения доверия

ИСО/МЭК 27034 помогает применять и отражать принципы доверия к безопасности из ИСО/МЭК ТО 15443-1 и содействовать сценариям обеспечения доверия из ИСО/МЭК ТО 15443-3.

0.5.8 ИСО/МЭК 15026-2, Разработка программного обеспечения и систем. Гарантирование систем и программного обеспечения. Часть 2: Сценарии обеспечения доверия

Использование процессов и мер и средств контроля и управления безопасностью приложений из ИСО/МЭК 27034 в проектах приложений непосредственно способствует реализации сценариев обеспечения доверия к безопасности приложений В частности:

a)    утверждения и их обоснования обеспечиваются процессом анализа риска безопасности приложений:

b)    свидетельства предоставляются встроенными верификационными измерениями мер и средств контроля и управления безопасностью приложений:

c)    соответствие ИСО/МЭК 27034 может использоваться в качестве аргумента во многих подобных сценариях обеспечения доверия.

См. также 8.1.2.6.5.1.

0.5.9 ИСО/МЭК 15288, Разработка программного обеспечения и систем. Процессы жизненного цикла систем, и ИСО/МЭК 12207, Разработка программного обеспечения и систем. Процессы жизненного цикла программных средств

ИСО/МЭК 27034 предоставляет дополнительные процессы для организации, а также меры и средства контроля и управления безопасностью приложений, которые организация может включать как дополнительные мероприятия в существующие процессы жизненного цикла проектирования систем и программных средств, предоставляемые ИСО/МЭК 15288 и ИСО/МЭК 12207.

0.5.10 ИСО/МЭК ТО 29193 (в процессе разработки), Принципы и методы инжиниринга безопасных систем

ИСО/МЭК ТО 29193 предоставляет руководства для инжиниринга безопасности систем или продуктов ИКТ, которые организация может реализовать в качестве мер и средств контроля и управления безопасностью приложений, как предлагает ИСО/МЭК 27034.

IX

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Безопасность приложений Часть 1 Обзор и общие понятия Information technology Security techniques Application secunty Part 1 Overview and concepts

Дата введения — 2015—06—01

1    Область применения

ИСО/МЭК 27034 предоставляет организациям руководство, содействующее интеграции безопасности в процессы, используемые для менеджмента приложений.

Данная часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений, а также определения, понятия, принципы и процессы, касающиеся обеспечения безопасности приложений.

ИСО/МЭК 27034 применим для приложений, разработанных в рамках организации или приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссыпки на следующие международные стандарты. Для датированных ссылок используют только указанное издание. Для недатированных ссылок используют самое последнее издание ссылочного документа (с учетом всех его изменений).

ИСО/МЭК 27000:2009’> Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009. Information technology — Security techniques — Information security management systems — Overview and vocabulary)

ИСО/МЭК 27001:2005²⁾ Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001 2005. Information technology — Security techniques — Information security management systems — Requirements)

ИСО/МЭК 27002:2005³> Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (ISO/IEC 27002:2005. Information technology — Security techniques — Code of practice for information security management

’) Отменен Действует ИСО/МЭК 27000 2014 Однако для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только данный ссылочный стандарт

²⁾    Отменен Действует ИСО/МЭК 27001 2013 Однако для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только данный ссылочный стандарт

³⁾    Отменен Действует ИСО/МЭК 27002:2013 Однако для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только данный ссылочный стандарт

Издание официальное