ГОСТ Р ИСО/МЭК 27034-6-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность приложений
Часть 6
Практические примеры
Information technology. Security techniques. Application security. Part 6. Case studies
ОКС 35.030
Дата введения 2021-11-30
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 369-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27034-6:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры" (ISO/IEC 27034-6:2016 "Information technology - Security techniques - Application security - Part 6: Case studies", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27034-6:2016 подготовлен подкомитетом 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета ИСО/МЭК СТК 1 "Информационные технологии"
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
0.1 Общие положения
В настоящее время организации сталкиваются с постоянно растущей потребностью в защите своей информации на уровне приложений. Системный подход к повышению уровня безопасности приложений способствует обеспечению в организации надежной защиты информации, которая используется и хранится в приложениях.
ИСО/МЭК 27034, состоящий из нескольких частей, содержит описания понятий, принципов, структур, компонентов и процессов для оказания помощи организациям в планомерной интеграции мер обеспечения безопасности на протяжении жизненного цикла приложений.
Одним из ключевых компонентов настоящего стандарта являются меры обеспечения безопасности приложений (МОБП).
Чтобы облегчить внедрение мер обеспечения безопасности приложений, а также механизмов передачи и обмена данными МОБП, приведенных в ИСО/МЭК 27034 (все части), необходимо определить формальную структуру МОБП и других компонентов этой структуры.
0.2 Назначение
Целью настоящего стандарта является предоставление рекомендаций по применению мер обеспечения безопасности, с помощью которых организации смогут приобретать, разрабатывать, передавать на аутсорсинг и управлять системой безопасности своих приложений в течение всего их жизненного цикла.
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.
0.3 Целевая аудитория
0.3.1 Общие положения
Настоящий стандарт полезен для следующих групп лиц при осуществлении ими своих организационных ролей:
a) эксперты в предметной области.
0.3.2 Эксперты в предметной области
Эксперты в предметной области предоставляют знания, необходимые для подготовки, эксплуатации и аудита приложений. Эксперты должны:
a) участвовать в разработке, валидации и верификации МОБП;
b) участвовать во внедрении и поддержке МОБП, предлагая стратегии, компоненты и процессы внедрения для адаптации МОБП к условиям организации;
c) подтверждать, что МОБП пригодны для применения и несут выгоду в рамках проектов приложений.
1 Область применения
В настоящем стандарте приведены примеры использования МОБП в определенных приложениях.
Примечание - Указанные МОБП приведены только в справочных целях, для обеспечения безопасности приложений рекомендуется разработать собственные МОБП.
2 Нормативные ссылки
В настоящем стандарте отсутствуют нормативные ссылки.
3 Термины и определения
В настоящем стандарте используются термины и определения по ИСО/МЭК 27034-1.
ИСО и МЭК поддерживают терминологические базы данных для использования в стандартизации в следующих адресах:
- ИСО, Онлайн просматривающий платформу: доступный в https://www.iso.org/obp;
- МЭК, Electropedia: доступный в http://www.electropedia.org/
4 Обозначения
МОБП - меры обеспечения безопасности приложений (ASC).
ЖЦБП - жизненный цикл безопасности приложений (ASLC).
ЭМБЖБП - эталонная модель жизненного цикла безопасности приложений (ASLCRM).
НСО - нормативная структура организации (ONF).
5 Руководство по обеспечению безопасности для конкретного приложения
5.1 Общие положения
Руководящие принципы играют важную роль для организаций, которые планируют внедрить любой передовой опыт или стандарт ИСО, поскольку руководства предоставляют указания по использованию методик или правил, а также содержат распространенные примеры их применения.
Организации получат значительную пользу от применения этого руководства, поскольку в нем содержатся практические примеры формирования структуры МОБП для определенных приложений, использующих рекомендуемую структуру данных XML, приведенную в ИСО/МЭК 27034-5-1, и реализации нормативной структуры организации (НСО).
________________
Расширяемый язык разметки (XML).
5.2 Пример меры обеспечения безопасности приложений: анализ исходного кода Java для мобильных приложений
5.2.1 Общие положения
Анализ исходного кода кажется тривиальной задачей; но если приложение содержит тысячи строк кода, то эта процедура может быть неэффективной и (или) слишком дорогой.
В данном примере представлена структура МОБП, разработанная вымышленной организацией под названием ORGANIsation Inc. Эта МОБП выполняет защитную функцию анализа исходного кода.
5.2.2 Назначение
Целью этого подраздела является предоставление простого описания примера МОБП под названием "Анализ исходного кода" для организации, разрабатывающей мобильные приложения Java. Для обеспечения краткости и удобочитаемости информации упрощенное подмножество МОБП представлено на русском языке, но требования к МОБП, установленные в ИСО/МЭК 27034-5, позволяют описывать любой объект МОБП, используя набор символов, как приведено в приложении А (таблица A.1).
5.2.3 Контекст
ORGANIsation Inc. - это международная организация, разрабатывающая мобильные приложения на языке Java для внутреннего использования и по запросу своих клиентов. Офисы ORGANIsation Inc. по разработке программного обеспечения расположены в Монреале, Ванкувере и Москве. Поэтому вся документация по разработке, инструкции и справочные материалы в ORGANIsation должны быть доступны на английском, французском и русском языках.
В ходе внедрения ИСО/МЭК 27034 (все части) в ORGANIsation приоритет отдается разработке МОБП с целью уменьшения уязвимостей в мобильном коде на языке Java. Комитет НСО в ORGANIsation поручает Службе безопасности приложений (Application Security Department, ASD) разработать и представить МОБП для анализа исходного кода Java.
5.2.4 Правила классификации информации в ORGANIsation
В ORGANIsation используются утвержденные внутренние правила классификации информации на четыре уровня:
a) с ограниченным доступом;
b) конфиденциальная;
c) строго конфиденциальная;
d) коммерческая.
5.2.5 Уровни доверия приложений, указанные в библиотеке мер обеспечения безопасности приложений ORGANIsation
Считается, что ORGANIsation провела общую оценку рисков безопасности, для чего разделила свои приложения на шесть категорий в зависимости от степени организационного риска. После этого эксперты в предметной области, уполномоченные комитетом НСО, приняли решение использовать эти категории в качестве шаблона для определения уровней доверия приложений в ORGANIsation. Неформальные определения уровней и метки для каждого уровня доверия приложения приведены в таблице 1.
Таблица 1 - Уровни доверия приложений ORGANIsation
Уровень доверия приложения | Название | Описание |
0 | Основной | Все приложения ORGANIsation должны соответствовать данному уровню доверия приложения |
1 | Изолированный - только локальная сеть | Этот уровень доверия приложения относится к приложениям, используемым в изолированных корпоративных сетях, не подключенных к внешним сетям |
2 | Низкий - Интернет, только общедоступная информация | Этот уровень доверия приложения относится к приложениям с доступом в Интернет, передающим общедоступную информацию, не обеспечивая ее конфиденциальности |
3 | Средний - Интернет, корпоративные пользователи | Этот уровень доверия приложения относится к приложениям с доступом в Интернет для обработки транзакций, используемым корпоративными пользователями и позволяющим получить доступ к корпоративным сервисам, пользовательским файлам и (или) транзакциям на сумму до 5000 долларов США |
4 | Высокий - безопасные транзакции и защита конфиденциальности данных в Интернете | Этот уровень доверия приложения относится к приложениям с доступом в Интернет для обработки транзакций, используемым корпоративными пользователями и позволяющим получить доступ к личной информации пользователей и (или) транзакциям на сумму от 5000 до 25000 долларов США |
5 | Приватный | Этот уровень доверия приложения относится к приложениям для обработки транзакций, которым требуется высокий уровень защиты, привилегированный доступ и (или) безопасное хранилище. Они имеют доступ к важной информации и (или) транзакциям на сумму свыше 25000 долларов США |
5.2.6 Результат
Службе безопасности приложений было поручено выбрать и приобрести инструментальное средство автоматического анализа исходного кода на языке Java с настраиваемыми правилами. После анализа предложений, поступивших от поставщиков, служба выбрала инструментальное средство под названием Efficient-Reviewer, версия 2.2.
В результате проекта были разработаны и внедрены пять МОБП версии 1.0.
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно