ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия
Приложение А
(справочное)
Пример сопоставления существующего процесса разработки с ИСО/МЭК 27034
А.1 Общая информация
Цель данного приложения - проиллюстрировать на примере, как фактически существующий сосредоточенный на безопасности процесс разработки программных средств (SDL) можно с успехом сопоставить с некоторыми компонентами и процессами ИСО/МЭК 27034.
Если специально не отмечено иное, то данный конкретный пример предполагает, что все обсуждаемые мероприятия и результаты деятельности соответствуют ИСО/МЭК 27034.
В данном приложении в поддержку ИСО/МЭК 27034 приведены:
a) краткий обзор жизненного цикла разработки безопасного программного обеспечения;
b) сопоставление практических приемов обеспечения безопасного программного обеспечения с нормативной структурой организации. В частности, в данном приложении:
1) объясняются взаимосвязи между бизнес-контекстом, технологическим и регулятивным контекстами;
2) обсуждаются процессы создания и поддержки спецификаций приложений;
3) в общих чертах описываются роли и обязанности различных лиц, вовлеченных в процесс разработки приложения;
4) приводятся существующие меры и средства контроля и управления безопасностью приложений (ASC);
5) обсуждается процесс верификации безопасности приложений;
6) дается наглядная иллюстрация эталонной модели жизненного цикла безопасности приложений;
7) даются примеры дополнительных мероприятий, выполнение которых может потребоваться организации, использующей SDL, для соответствия ИСО/МЭК 27034.
Для удобства рассмотрения описания мер и средств контроля и управления безопасностью приложений, приведенных в настоящем стандарте, помещены в текстовых окнах в приведенных ниже подразделах, за каждым из них следует пример применения.
Где возможно, приводятся ссылки на общедоступные источники информации; в настоящем стандарте можно найти веб-ссылки на конкретное обсуждение процессов, инструментальных средств и иную дополнительную информацию.
Важно отметить, что создатели данного приложения решили сосредоточиться исключительно на методике разработки безопасных программных средств, используемой для поставки коммерческого прикладного программного средства и онлайновых услуг. Существуют другие процессы, охватывающие задачи безопасности ИТ. Группы, администрирующие эти процессы, связаны аналогичным технологическим и регулятивным контекстами, но не создают прикладное программное средство, предназначенное для широкого общественного использования. Хотя иллюстрация методик разработки безопасных программных средств и ИТ может показаться интересной для некоторых читателей, она не обязательно предоставит более убедительные свидетельства практичности ИСО/МЭК 27034.
Использование жизненного цикла разработки безопасного программного средства (Security Development Lifecycle - SDL) в этом поясняющем контексте не означает одобрение SDL Международной организацией по стандартизации (ИСО).
А.2 О жизненном цикле разработки безопасного программного средства
Жизненный цикл разработки безопасного программного средства (SDL) - это процесс обеспечения доверия к безопасности программных средств. Используемый в качестве инициативы в масштабе компаний и обязательной политики с 2004 года, SDL сыграл важную роль во встраивании обеспечения безопасности и приватности в программные средства и культуру принимающей его компании. Сочетая целостный и практичный подход, SDL вводит безопасность и приватность во все этапы процесса разработки. Ссылки на частные технологии и ресурсы в данном приложении опущены.
Как показано на рисунке А.1, жизненный цикл разработки безопасного программного средства состоит из семи этапов.
Рисунок А.1 - Жизненный цикл разработки безопасного программного средства
А.3 Сопоставление SDL с нормативной структурой организации
Сопоставление SDL с нормативной структурой организации показано на рисунке А.2. Последующее обсуждение SDL будет придерживаться этого формата.