ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия

     0.3 Целевая аудитория

0.3.1 Общие сведения

ИСО/МЭК 27034 полезен для следующих групп лиц при осуществлении ими своих обозначенных организационных ролей:

a) руководителей;

b) членов групп подготовки к работе и эксплуатации;

c) лиц, отвечающих за приобретение;

d) поставщиков;

e) аудиторов;

f) пользователей.

0.3.2 Руководители

Руководители - это лица, задействованные в менеджменте приложений в течение их полного жизненного цикла. Применяемые этапы жизненного цикла приложений включают этапы подготовки к работе и этапы функционирования. К руководителям относятся:

a) ответственные за информационную безопасность;

b) руководители проектов;

c) администраторы;

d) ответственные за приобретение программных средств;

e) руководители разработки программных средств;

f) владельцы приложений;

g) руководители среднего звена, которые руководят сотрудниками.

В обязанности руководителей входит:

a) обеспечить баланс между стоимостью реализации и поддержанием безопасности приложений по отношению к рискам и представляемой ценностью приложений для организации;

b) проверять рекомендации аудиторских отчетов относительно принятия или отклонения достигаемого и поддерживаемого приложением целевого уровня доверия;

c) обеспечивать уверенность в соблюдении стандартов, законов и предписаний на основе регулятивного контекста приложения (см. 8.1.2.2);

d) осуществлять надзор за реализацией безопасного приложения;

e) санкционировать целевой уровень доверия в соответствии со специфическим контекстом организации;

f) определять, какие меры и средства контроля и управления безопасностью приложений, а также соответствующие верификационные измерения должны реализовываться и тестироваться;

g) сводить к минимуму расходы на верификацию безопасности приложений;

h) документально оформлять процедуры и политики безопасности для приложений;