Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия

     3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005, а также следующие термины с соответствующими определениями.

3.1 действующий субъект (actor): Лицо или процесс, осуществляющий деятельность во время жизненного цикла приложения или инициирующий взаимодействие с любым процессом, который обеспечивает или затрагивает приложение.

3.2 фактический уровень доверия (actual level of trust): Результат процесса аудита, обеспечивающий свидетельства, подтверждающие, что меры и средства контроля и управления безопасностью приложений, требуемые целевым уровнем доверия приложения, надлежащим образом реализованы, проверены и дают ожидаемые результаты.

3.3 приложение (application): Решение в области ИТ, включающее прикладное программное средство, прикладные данные и процедуры, предназначенные для содействия пользователям организации в осуществлении определенных задач или обработке конкретных видов задач ИТ посредством автоматизации процесса или функции бизнеса.


Примечание - Процессы бизнеса включают как людей, так и технологии.

3.4 эталонная модель жизненного цикла безопасности приложений (application security life cycle reference model): Модель жизненного цикла, используемая в качестве эталона для введения мероприятий по обеспечению безопасности в процессы, связанные с менеджментом приложений, подготовкой к работе и эксплуатацией приложений, менеджментом инфраструктуры и аудитом приложений.

3.5 нормативная структура приложений; ANF (application normative framework - ANF): Совокупность нормативных элементов, выбранных из нормативной структуры организации и значимых для конкретного проекта приложения.

3.6 владелец приложения (application owner): Организационная роль, отвечающая за менеджмент, использование и обеспечение защиты приложения и его данных.


Примечания

1 Владелец приложения принимает все решения, касающиеся безопасности приложения.

2 Используемый в настоящем стандарте термин "владелец" является синонимом термина "владелец приложения".

3.7 проект приложения (application project): Попытка действий с определенными критериями начала и завершения, направленных на создание приложения в соответствии с заданными ресурсами и требованиями.


[ИСО/МЭК 12207:2008, определение 4.29, модифицированное специально для сферы действия приложений]

Примечание - Для целей ИСО/МЭК 27034 критерии начала и завершения таковы, что весь жизненный цикл приложения включен в проект приложения.

3.8 мера и средство контроля и управления безопасностью приложения; ASC (application security control - ASC): Структура данных, содержащая четкое перечисление и описание видов деятельности по обеспечению безопасности и их соответствующего верификационного измерения, подлежащего выполнению в конкретный момент жизненного цикла приложения.

3.9 процесс менеджмента безопасности приложений; ASMP (application security management process - ASMP): Используемый организацией общий процесс менеджмента в отношении видов деятельности по обеспечению безопасности, действующих субъектов, артефактов и аудита каждого приложения.

3.10 прикладное программное средство (application software): Программное средство, предназначенное для содействия пользователям в осуществлении определенных задач или обработке конкретных видов задач, в отличие от программного средства, управляющего компьютером.


[ИСО/МЭК/ИИЭР 24765:2010, определение 3.130-1]