ГОСТ Р 59494-2021/ISO/IEC TS 27034-5-1:2018
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность приложений
Часть 5-1
Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы
Information technology. Security techniques. Application security. Part 5-1. Protocols and application security controls data structure. XML schemas
ОКС 35.030
Дата введения 2021-11-30
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 367-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TS 27034-5-1:2018* "Информационные технологии. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы" (ISO/IEC TS 27034-5-1:2018 "Information technology - Application security - Part 5-1: Protocols and application security controls data structure, XML schemas", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC TS 27034-5-1 подготовлен подкомитетом 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета ИСО/МЭК СТК 1 "Информационные технологии".
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.
Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
0.1 Общие положения
В настоящее время организации сталкиваются с постоянно растущей потребностью в защите своей информации на уровне приложений. Системный подход к повышению уровня безопасности приложений способствует обеспечению в организации надежной защиты информации, которая используется и хранится в приложениях.
ИСО/МЭК 27034 (все части) содержит описания понятий, принципов, структур, компонентов и процессов для оказания помощи организациям в планомерной интеграции мер обеспечения безопасности на протяжении жизненного цикла приложений.
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.
Одним из ключевых компонентов ИСО/МЭК 27034 (все части) является мера обеспечения безопасности приложения (МОБП). Для внедрения МОБП, а также механизмов передачи и обмена данными МОБП, описанных в ИСО/МЭК 27034 (все части), необходим формальный документ, определяющий формат обмена.
Настоящий стандарт представляет собой техническую спецификацию, в которой приведены XML-схемы основных атрибутов МОБП, а также подробная информация об эталонной модели жизненного цикла безопасности приложений.
________________
Расширяемый язык разметки (XML).
0.2 Назначение
Целью настоящего стандарта является определение XML-схем, отражающих наиболее важную информацию и требования к структуре данных МОБП, а также эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП). Использование стандартизованного набора основных атрибутов информации и структуры данных МОБП имеет следующие преимущества:
a) содействие обмену данными мер обеспечения безопасности приложений (МОБП);
b) наличие формально определенной эталонной модели для поставщиков инструментальных средств и поставщиков МОБП, а также приобретающих сторон.
0.3 Целевая аудитория
0.3.1 Общие положения
Настоящий стандарт полезен для следующих групп лиц при осуществлении ими своих обозначенных организационных ролей:
a) руководителей;
b) группы нормативной структуры организации;
c) экспертов в предметной области;
d) поставщиков;
e) приобретающих сторон.
0.3.2 Руководители
Руководителям необходимо ознакомиться с настоящим стандартом, поскольку в их обязанности входит:
a) обеспечение возможности повторного использования МОБП внутри организации;
b) обеспечение доступности к данным МОБП, а также их передача и использование в проектах приложений с помощью надлежащих инструментальных средств и процедур во всей организации.
0.3.3 Группа нормативной структуры организации
Группа НСО несет ответственность за управление внедрением и обслуживанием компонентов и процессов, связанных с безопасностью приложений, в рамках нормативной структуры организации. В обязанности группы НСО входит:
a) внедрение библиотеки МОБП;
b) утверждение МОБП, которые адекватно снижают угрозы безопасности приложений;
c) управление стоимостью внедрения и поддержки этих МОБП.
0.3.4 Эксперты в предметной области
Эксперты в предметной области предоставляют знания, необходимые для подготовки к работе, эксплуатации и аудита приложений. В обязанности экспертов входит:
a) участие в разработке, валидации и верификации МОБП;
b) участие во внедрении и поддержке МОБП, путем разработки стратегий, компонентов и процессов внедрения для адаптации МОБП к условиям организации;
c) подтверждение пригодности МОБП для применения, а также их ценности в рамках проектов приложений.
0.3.5 Поставщики мер обеспечения безопасности приложений
Поставщики содействуют разработке, обслуживанию и распространению инструментальных средств и (или) МОБП. Перед ними стоят следующие задачи:
a) создание, проверка, подписание, распространение и применение МОБП;
b) выполнение действий в соответствии с общим и стандартизированным протоколом (структура и формат) обмена данными МОБП.
0.3.6 Стороны, приобретающие меры обеспечения безопасности приложений
Приобретающей стороной являются физические или юридические лица, которые намерены приобрести МОБП. В обязанности приобретающих сторон входит:
a) интеграция МОБП в структуру организации, обеспечение взаимодействия любых внутренних и сторонних МОБП;
b) адаптация и подписание МОБП для обеспечения их целостности;
c) обеспечение соответствия задач и мероприятий, связанных с приобретенными МОБП, этапам жизненного цикла приложения организации.
В настоящем стандарте содержится определение XML-схем, реализующих минимальный набор требований к информации, наиболее важные атрибуты МОБП, а также роли и мероприятия в рамках эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП) согласно ИСО/МЭК 27034-5.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание. Для недатированных - последнее издание (включая все изменения).
ISO/IEC 27034-1, Information technology - Security techniques - Application security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия)
ISO/IEC 27034-5, Information technology - Security techniques - Application security - Part 5: Protocols and application security controls data structure (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений)
В настоящем стандарте применены термины по ИСО/МЭК 27034-1, а также следующий термин с соответствующим определением.
ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации в следующих адресах:
- ИСО, онлайн просматривающий платформу: доступный в https://www.iso.org/obp;
- МЭК, Electropedia: доступный в http://www.electropedia.org/
3.1 мероприятие (activity): Набор действий или задач, выполняемых действующим субъектом в течение жизненного цикла приложения.
МОБП | - мера обеспечения безопасности приложений (ASC). | |
ЖЦБП | - жизненный цикл безопасности приложений (ASLC). | |
ЭМЖЦБП | - эталонная модель жизненного цикла безопасности приложений (ASLCRM). | |
НСО | - нормативная структура организации (ONF). | |
ИКТ | - информационно-коммуникационная технология. |