ГОСТ Р ИСО/МЭК 27034-1-2014

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность приложений

Часть 1

Обзор и общие понятия

Information technology. Security techniques. Application security. Part 1. Overview and concepts

ОКС 35.040

Дата введения 2015-06-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ФГУП "ВНИИНМАШ"), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 11 июня 2014 г. N 564-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27034-1:2011* "Информационная технология. Методы обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия" (ISO/IEC 27034-1:2011 "Information technology - Security techniques - Application security - Part 1: Overview and concepts").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

     0.1 Общая информация

Организации должны обеспечивать защиту своей информации и технологических инфраструктур, чтобы сохранять свой бизнес. Традиционно это происходило на уровне ИТ путем защиты периметра и таких компонентов технологических структур, как компьютеры и сети. Но этого оказывалось недостаточно.

Кроме того, организации все больше стремятся обеспечивать свою защиту на уровне корпоративного управления, используя формализованные, протестированные и проверенные системы менеджмента информационной безопасности (СМИБ). Системный подход способствует эффективности СМИБ, как описано в ИСО/МЭК 27001.

Однако в настоящее время организации сталкиваются с постоянно растущей потребностью защиты своей информации на уровне приложений.

Организациям необходимо обеспечивать защиту приложений от уязвимостей, которые могут быть свойственны самому приложению (например, дефекты программных средств), могут появляться в течение жизненного цикла приложений (например, в результате изменений приложения) или возникать в результате использования приложений в не предназначенных для них условиях.

Системный подход к усиленному обеспечению безопасности приложений обеспечивает свидетельства адекватной защиты информации, используемой или хранимой приложениями организации.

Приложения могут быть получены путем внутренней разработки, аутсорсинга или покупки готового стандартного продукта. Приложения могут быть также получены путем комбинации этих подходов, что может привести к иным последствиям в плане безопасности, требующим рассмотрения и управления.

Примерами приложений являются кадровые системы, финансовые системы, системы обработки текстов, системы менеджмента взаимодействия с клиентами, межсетевые экраны, антивирусные системы и системы обнаружения вторжений.

На протяжении своего жизненного цикла безопасное приложение проявляет необходимые характеристики качества программного средства, такие как предсказуемое исполнение и соответствие, а также выполнение требований безопасности с точки зрения разработки, менеджмента, технологической инфраструктуры и аудита. Для создания надежных приложений, которые не увеличивают подверженность риску выше допустимого или приемлемого уровня остаточного риска и поддерживают эффективную СМИБ, требуются процессы и практические приемы усиленной безопасности, а также квалифицированные лица для их выполнения.

Кроме того, безопасное приложение учитывает требования безопасности, вытекающие из типа данных, целевой среды (бизнес-контекст, нормативный и технологический контексты), действующих субъектов и спецификаций приложений. Должна существовать возможность получения свидетельств, доказывающих, что допустимый или приемлемый уровень остаточного риска достигнут и поддерживается.

_______________

Спецификация - документ, устанавливающий требования [ГОСТ ISO 9000-2011, пункт 3.7.3].

     0.2 Назначение

Целью ИСО/МЭК 27034 является содействие организациям в планомерной интеграции безопасности на протяжении жизненного цикла приложений посредством:

a) предоставления общих понятий, принципов, структур, компонентов и процессов;

b) обеспечения процессно-ориентированных механизмов для установления требований безопасности, оценки рисков безопасности, присвоения целевого уровня доверия и выбора соответствующих мер и средств контроля и управления безопасностью, а также верификационных мер;

c) предоставления рекомендаций для установления критериев приемки для организаций, осуществляющих аутсорсинг разработки или оперирования приложениями, и для организаций, приобретающих приложения у третьей стороны;

d) обеспечения процессно-ориентированных механизмов для определения, формирования и сбора свидетельств, необходимых для демонстрации того, что их приложения безопасны для использования в определенной среде;

e) поддержки общих концепций, определенных в ИСО/МЭК 27001, и содействия соответствующей реализации информационной безопасности, основанной на менеджменте риска;

f) предоставления структуры, содействующей реализации мер и средств контроля и управления безопасностью, определенных в ИСО/МЭК 27002 и других стандартах.

ИСО/МЭК 27034:

a) применяется к программным средствам, лежащим в основе приложений, и к факторам, способным влиять на их безопасность, таким как данные, технология, процессы жизненного цикла приложений, процессы поддержки и действующие субъекты;

b) применяется к организациям любого типа и величины (например, к коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), подвергающимся рискам, связанным с приложениями.

ИСО/МЭК 27034 не предоставляет:

a) рекомендации по физической безопасности и безопасности сети;

b) типы измерения или меры и средства контроля и управления;

c) спецификации безопасного кодирования для любого языка программирования.

ИСО/МЭК 27034 не является:

a) стандартом по разработке прикладных программ;

b) стандартом по менеджменту проектов приложений;

c) стандартом, касающимся жизненного цикла развития программных средств.

Указанные в ИСО/МЭК 27034 требования и процессы предназначены не для реализации по отдельности, а скорее для интеграции в существующие процессы организации. Поэтому организации должны сопоставлять свои существующие процессы и структуры с теми, которые предлагает ИСО/МЭК 27034, облегчая, таким образом, осуществление применения ИСО/МЭК 27034.

В приложении А представлен пример того, как существующий процесс разработки программных средств можно сопоставить с некоторыми компонентами и процессами ИСО/МЭК 27034. В общем, организация в рамках любого жизненного цикла развития должна выполнить сопоставление, описанное в приложении А, и добавить любые недостающие компоненты и процессы, которые необходимы для соответствия ИСО/МЭК 27034.

     0.3 Целевая аудитория

0.3.1 Общие сведения

ИСО/МЭК 27034 полезен для следующих групп лиц при осуществлении ими своих обозначенных организационных ролей:

a) руководителей;

b) членов групп подготовки к работе и эксплуатации;

c) лиц, отвечающих за приобретение;

d) поставщиков;

e) аудиторов;

f) пользователей.

0.3.2 Руководители

Руководители - это лица, задействованные в менеджменте приложений в течение их полного жизненного цикла. Применяемые этапы жизненного цикла приложений включают этапы подготовки к работе и этапы функционирования. К руководителям относятся:

a) ответственные за информационную безопасность;

b) руководители проектов;

c) администраторы;

d) ответственные за приобретение программных средств;

e) руководители разработки программных средств;

f) владельцы приложений;

g) руководители среднего звена, которые руководят сотрудниками.

В обязанности руководителей входит:

a) обеспечить баланс между стоимостью реализации и поддержанием безопасности приложений по отношению к рискам и представляемой ценностью приложений для организации;

b) проверять рекомендации аудиторских отчетов относительно принятия или отклонения достигаемого и поддерживаемого приложением целевого уровня доверия;

c) обеспечивать уверенность в соблюдении стандартов, законов и предписаний на основе регулятивного контекста приложения (см. 8.1.2.2);

d) осуществлять надзор за реализацией безопасного приложения;

e) санкционировать целевой уровень доверия в соответствии со специфическим контекстом организации;

f) определять, какие меры и средства контроля и управления безопасностью приложений, а также соответствующие верификационные измерения должны реализовываться и тестироваться;

g) сводить к минимуму расходы на верификацию безопасности приложений;

h) документально оформлять процедуры и политики безопасности для приложений;

i) обеспечивать информирование, обучение и надзор за обеспечением безопасности в отношении всех действующих субъектов;

j) вводить надлежащие формы допуска по информационной безопасности, которые требуют применяемые процедуры и политики информационной безопасности;

k) курировать все планы, связанные с системами безопасности во всей структуре организации.

0.3.3 Члены групп подготовки к работе и эксплуатации

Члены групп подготовки к работе и эксплуатации (общеизвестные как группы проекта) - это лица, вовлеченные в проектирование, разработку и поддержку приложений на протяжении всего их жизненного цикла. К ним относятся:

a) разработчики архитектуры;

b) аналитики;

c) программисты;