Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия

     0.2 Назначение


Целью ИСО/МЭК 27034 является содействие организациям в планомерной интеграции безопасности на протяжении жизненного цикла приложений посредством:

a) предоставления общих понятий, принципов, структур, компонентов и процессов;

b) обеспечения процессно-ориентированных механизмов для установления требований безопасности, оценки рисков безопасности, присвоения целевого уровня доверия и выбора соответствующих мер и средств контроля и управления безопасностью, а также верификационных мер;

c) предоставления рекомендаций для установления критериев приемки для организаций, осуществляющих аутсорсинг разработки или оперирования приложениями, и для организаций, приобретающих приложения у третьей стороны;

d) обеспечения процессно-ориентированных механизмов для определения, формирования и сбора свидетельств, необходимых для демонстрации того, что их приложения безопасны для использования в определенной среде;

e) поддержки общих концепций, определенных в ИСО/МЭК 27001, и содействия соответствующей реализации информационной безопасности, основанной на менеджменте риска;

f) предоставления структуры, содействующей реализации мер и средств контроля и управления безопасностью, определенных в ИСО/МЭК 27002 и других стандартах.

ИСО/МЭК 27034:

a) применяется к программным средствам, лежащим в основе приложений, и к факторам, способным влиять на их безопасность, таким как данные, технология, процессы жизненного цикла приложений, процессы поддержки и действующие субъекты;

b) применяется к организациям любого типа и величины (например, к коммерческим предприятиям, государственным учреждениям, некоммерческим организациям), подвергающимся рискам, связанным с приложениями.

ИСО/МЭК 27034 не предоставляет:

a) рекомендации по физической безопасности и безопасности сети;

b) типы измерения или меры и средства контроля и управления;

c) спецификации безопасного кодирования для любого языка программирования.

ИСО/МЭК 27034 не является:

a) стандартом по разработке прикладных программ;

b) стандартом по менеджменту проектов приложений;

c) стандартом, касающимся жизненного цикла развития программных средств.

Указанные в ИСО/МЭК 27034 требования и процессы предназначены не для реализации по отдельности, а скорее для интеграции в существующие процессы организации. Поэтому организации должны сопоставлять свои существующие процессы и структуры с теми, которые предлагает ИСО/МЭК 27034, облегчая, таким образом, осуществление применения ИСО/МЭК 27034.

В приложении А представлен пример того, как существующий процесс разработки программных средств можно сопоставить с некоторыми компонентами и процессами ИСО/МЭК 27034. В общем, организация в рамках любого жизненного цикла развития должна выполнить сопоставление, описанное в приложении А, и добавить любые недостающие компоненты и процессы, которые необходимы для соответствия ИСО/МЭК 27034.