ГОСТ Р 59494-2021/ISO/IEC TS 27034-5-1:2018

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность приложений

Часть 5-1

Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы

Information technology. Security techniques. Application security. Part 5-1. Protocols and application security controls data structure. XML schemas

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 367-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TS 27034-5-1:2018* "Информационные технологии. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы" (ISO/IEC TS 27034-5-1:2018 "Information technology - Application security - Part 5-1: Protocols and application security controls data structure, XML schemas", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ISO/IEC TS 27034-5-1 подготовлен подкомитетом 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета ИСО/МЭК СТК 1 "Информационные технологии".

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

В настоящее время организации сталкиваются с постоянно растущей потребностью в защите своей информации на уровне приложений. Системный подход к повышению уровня безопасности приложений способствует обеспечению в организации надежной защиты информации, которая используется и хранится в приложениях.

ИСО/МЭК 27034 (все части) содержит описания понятий, принципов, структур, компонентов и процессов для оказания помощи организациям в планомерной интеграции мер обеспечения безопасности на протяжении жизненного цикла приложений.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.

Одним из ключевых компонентов ИСО/МЭК 27034 (все части) является мера обеспечения безопасности приложения (МОБП). Для внедрения МОБП, а также механизмов передачи и обмена данными МОБП, описанных в ИСО/МЭК 27034 (все части), необходим формальный документ, определяющий формат обмена.

Настоящий стандарт представляет собой техническую спецификацию, в которой приведены XML-схемы основных атрибутов МОБП, а также подробная информация об эталонной модели жизненного цикла безопасности приложений.

________________

Расширяемый язык разметки (XML).

0.2 Назначение

Целью настоящего стандарта является определение XML-схем, отражающих наиболее важную информацию и требования к структуре данных МОБП, а также эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП). Использование стандартизованного набора основных атрибутов информации и структуры данных МОБП имеет следующие преимущества:

a) содействие обмену данными мер обеспечения безопасности приложений (МОБП);

b) наличие формально определенной эталонной модели для поставщиков инструментальных средств и поставщиков МОБП, а также приобретающих сторон.

0.3 Целевая аудитория

0.3.1 Общие положения

Настоящий стандарт полезен для следующих групп лиц при осуществлении ими своих обозначенных организационных ролей:

a) руководителей;

b) группы нормативной структуры организации;

c) экспертов в предметной области;

d) поставщиков;

e) приобретающих сторон.

0.3.2 Руководители

Руководителям необходимо ознакомиться с настоящим стандартом, поскольку в их обязанности входит:

a) обеспечение возможности повторного использования МОБП внутри организации;

b) обеспечение доступности к данным МОБП, а также их передача и использование в проектах приложений с помощью надлежащих инструментальных средств и процедур во всей организации.

0.3.3 Группа нормативной структуры организации

Группа НСО несет ответственность за управление внедрением и обслуживанием компонентов и процессов, связанных с безопасностью приложений, в рамках нормативной структуры организации. В обязанности группы НСО входит:

a) внедрение библиотеки МОБП;

b) утверждение МОБП, которые адекватно снижают угрозы безопасности приложений;

c) управление стоимостью внедрения и поддержки этих МОБП.

0.3.4 Эксперты в предметной области

Эксперты в предметной области предоставляют знания, необходимые для подготовки к работе, эксплуатации и аудита приложений. В обязанности экспертов входит:

a) участие в разработке, валидации и верификации МОБП;

b) участие во внедрении и поддержке МОБП, путем разработки стратегий, компонентов и процессов внедрения для адаптации МОБП к условиям организации;

c) подтверждение пригодности МОБП для применения, а также их ценности в рамках проектов приложений.

0.3.5 Поставщики мер обеспечения безопасности приложений

Поставщики содействуют разработке, обслуживанию и распространению инструментальных средств и (или) МОБП. Перед ними стоят следующие задачи:

a) создание, проверка, подписание, распространение и применение МОБП;

b) выполнение действий в соответствии с общим и стандартизированным протоколом (структура и формат) обмена данными МОБП.

0.3.6 Стороны, приобретающие меры обеспечения безопасности приложений

Приобретающей стороной являются физические или юридические лица, которые намерены приобрести МОБП. В обязанности приобретающих сторон входит:

a) интеграция МОБП в структуру организации, обеспечение взаимодействия любых внутренних и сторонних МОБП;

b) адаптация и подписание МОБП для обеспечения их целостности;

c) обеспечение соответствия задач и мероприятий, связанных с приобретенными МОБП, этапам жизненного цикла приложения организации.

     1 Область применения

В настоящем стандарте содержится определение XML-схем, реализующих минимальный набор требований к информации, наиболее важные атрибуты МОБП, а также роли и мероприятия в рамках эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП) согласно ИСО/МЭК 27034-5.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание. Для недатированных - последнее издание (включая все изменения).

ISO/IEC 27034-1, Information technology - Security techniques - Application security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия)

ISO/IEC 27034-5, Information technology - Security techniques - Application security - Part 5: Protocols and application security controls data structure (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27034-1, а также следующий термин с соответствующим определением.

ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации в следующих адресах:

- ИСО, онлайн просматривающий платформу: доступный в https://www.iso.org/obp;

- МЭК, Electropedia: доступный в http://www.electropedia.org/

3.1 мероприятие (activity): Набор действий или задач, выполняемых действующим субъектом в течение жизненного цикла приложения.

     4 Обозначения и сокращения