ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия
6.3 Сфера действия безопасности приложений
6.3.1 Общие сведения
Безопасность приложений обеспечивает защиту критических данных, вычисляемых, используемых, хранимых и передаваемых приложением, как требуется организации. Эта защита обеспечивает уверенность не только в доступности, целостности и конфиденциальности данных, но также в неотказуемости и аутентификации пользователей, имеющих к ним доступ. Критичность данных и иных активов должна определяться организацией посредством процесса оценки риска безопасности.
Нуждающиеся в защите критические данные также могут представлять собой исходный код приложения, двоичный код и исполняемый код.
На рисунке 2 показано графическое представление сферы действия безопасности приложений в виде области, ограниченной пунктирными линиями.
Это представление не означает, что все элементы в показанной выше сфере действия являются частью приложения, а говорит о том, что все эти элементы требуют защиты для обеспечения безопасности приложения. Таким образом, сфера действия безопасности приложения является более широкой, чем сфера действия самого приложения. Приведенная ниже таблица иллюстрирует это отличие.
Рисунок 2 - Сфера действия безопасности приложений
Таблица 1 - Сфера действия приложений в сравнении со сферой действия безопасности приложений
Элементы | В сфере действия приложений | В сфере действия безопасности приложений |
Данные организации и пользователей (6.3.9) | ||
Прикладные данные (6.3.8) | ||
Роли и полномочия (6.3.10) | ||
Спецификации приложений (6.3.7) | ||
Технологический контекст (6.3.6) | ||
Процессы, связанные с приложениями (6.3.5) | ||
Процессы жизненного цикла приложений (6.3.4) | ||
Бизнес-контекст (6.3.2) | ||
Регулятивный контекст (6.3.3) |
Приведенные ниже данные и процессы находятся в сфере действия безопасности приложений и должны быть защищены.
6.3.2 Бизнес-контекст
К бизнес-контексту относятся все связанные с бизнесом лучшие практические приемы, предписания и ограничения, вытекающие из сферы бизнеса организации.
6.3.3 Регулятивный контекст
К регулятивному контексту относятся все законы, предписания и общие правила, вытекающие из места ведения бизнеса или юрисдикции, которые влияют на функциональные возможности приложения или использование его данных (например, риски в результате различия национальных законов в странах, где будет использоваться одно и то же приложение).
6.3.4 Процессы жизненного цикла приложений
Должна обеспечиваться защита всех необходимых или существующих процессов организации, вовлеченных в жизненный цикл приложений, таких как:
a) процессы обучения, аудита и аттестации;
b) процессы реализации (разработка, менеджмент проектов, сопровождение, контроль версий, тестирование и т.д.);
c) операционные процессы.
6.3.5 Процессы, связанные с приложениями