Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия

  
Приложение С
(справочное)

     
Сопоставление процесса менеджмента риска из ИСО/МЭК 27005 с ASMP


ASMP можно рассматривать с точки зрения менеджмента риска, следуя, таким образом, процессу, подобному процессу менеджмента риска, определенному в ИСО/МЭК 27005.

     
Рисунок С.1 - Сопоставление процесса менеджмента риска из ИСО/МЭК 27005 с процессом ASMP

          

Выполняются следующие элементы процесса. Сначала устанавливается контекст приложения. Затем проводится оценка риска на уровне приложений. Если это предоставляет достаточно информации для эффективного определения мер и средств контроля и управления, которые необходимы для уменьшения рисков из-за использования организацией данного приложения до степени, допустимой (или приемлемой) для владельца приложения, то задача завершена, и следует обработка риска. Если информации недостаточно, будет проводиться другая итерация оценки риска с пересмотренными критериями риска и средой приложения (например, бизнес-контекст, регулятивный и технологический контексты, спецификации приложения, критерии оценивания риска, критерии принятия риска, критерии воздействия и т.д.), возможно, для ограниченных частей в пределах приложения.

Эффективность обработки риска зависит от результатов оценки риска. Если риск и выведенные требования безопасности для приложения плохо идентифицированы, то адекватная защита приложения не будет обеспечиваться, поскольку требования безопасности необходимы для идентификации целевого уровня доверия приложения (см. 8.2.3). Возможно, что обработка риска не будет сразу же приводить к допустимому (или приемлемому) остаточному риску. В этом случае проводится другая итерация оценки риска с более точными параметрами контекста (например, спецификации приложения, требования безопасности, уровень доверия, необходимые меры и средства контроля и управления безопасностью приложений и т.д.). При необходимости может потребоваться проведение формальной внутренней или внешней валидации.

Согласно ИСО/МЭК 27005, принятие риска происходит в конце процесса менеджмента риска. Поскольку безопасность приложения не может быть осуществлена в конце этапа реализации приложения, то принятие риска приложения должно осуществляться владельцем приложения в более ранний момент ASMP. Это должно происходить в конце процесса оценки риска, когда владелец приложения идентифицирует целевой уровень доверия для конкретного приложения.

В течение всего процесса менеджмента риска безопасности приложений важно, что риски и информация об уровне доверия и взаимосвязанных ASC доводятся до сведения соответствующих групп. Владелец приложения должен также обеспечивать уверенность в проведении мониторинга и рассмотрение риска в течение всего жизненного цикла приложения.

Осведомленность руководства и персонала о рисках, характере имеющихся мер и средств контроля и управления для уменьшения рисков и проблемных областей организации позволяет наиболее эффективным способом бороться с инцидентами и неожиданными событиями. Как определено в ИСО/МЭК 27005, следует документально оформлять подробные результаты каждой деятельности процесса менеджмента риска и результаты принятия решения относительно риска по двум точкам.