ГОСТ Р ИСО/МЭК 27034-6-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры
5.2 Пример меры обеспечения безопасности приложений: анализ исходного кода Java для мобильных приложений
5.2.1 Общие положения
Анализ исходного кода кажется тривиальной задачей; но если приложение содержит тысячи строк кода, то эта процедура может быть неэффективной и (или) слишком дорогой.
В данном примере представлена структура МОБП, разработанная вымышленной организацией под названием ORGANIsation Inc. Эта МОБП выполняет защитную функцию анализа исходного кода.
5.2.2 Назначение
Целью этого подраздела является предоставление простого описания примера МОБП под названием "Анализ исходного кода" для организации, разрабатывающей мобильные приложения Java. Для обеспечения краткости и удобочитаемости информации упрощенное подмножество МОБП представлено на русском языке, но требования к МОБП, установленные в ИСО/МЭК 27034-5, позволяют описывать любой объект МОБП, используя набор символов, как приведено в приложении А (таблица A.1).
5.2.3 Контекст
ORGANIsation Inc. - это международная организация, разрабатывающая мобильные приложения на языке Java для внутреннего использования и по запросу своих клиентов. Офисы ORGANIsation Inc. по разработке программного обеспечения расположены в Монреале, Ванкувере и Москве. Поэтому вся документация по разработке, инструкции и справочные материалы в ORGANIsation должны быть доступны на английском, французском и русском языках.
В ходе внедрения ИСО/МЭК 27034 (все части) в ORGANIsation приоритет отдается разработке МОБП с целью уменьшения уязвимостей в мобильном коде на языке Java. Комитет НСО в ORGANIsation поручает Службе безопасности приложений (Application Security Department, ASD) разработать и представить МОБП для анализа исходного кода Java.
5.2.4 Правила классификации информации в ORGANIsation
В ORGANIsation используются утвержденные внутренние правила классификации информации на четыре уровня:
a) с ограниченным доступом;
b) конфиденциальная;
c) строго конфиденциальная;
d) коммерческая.
5.2.5 Уровни доверия приложений, указанные в библиотеке мер обеспечения безопасности приложений ORGANIsation
Считается, что ORGANIsation провела общую оценку рисков безопасности, для чего разделила свои приложения на шесть категорий в зависимости от степени организационного риска. После этого эксперты в предметной области, уполномоченные комитетом НСО, приняли решение использовать эти категории в качестве шаблона для определения уровней доверия приложений в ORGANIsation. Неформальные определения уровней и метки для каждого уровня доверия приложения приведены в таблице 1.
Таблица 1 - Уровни доверия приложений ORGANIsation
Уровень доверия приложения | Название | Описание |
0 | Основной | Все приложения ORGANIsation должны соответствовать данному уровню доверия приложения |
1 | Изолированный - только локальная сеть | Этот уровень доверия приложения относится к приложениям, используемым в изолированных корпоративных сетях, не подключенных к внешним сетям |
2 | Низкий - Интернет, только общедоступная информация | Этот уровень доверия приложения относится к приложениям с доступом в Интернет, передающим общедоступную информацию, не обеспечивая ее конфиденциальности |
3 | Средний - Интернет, корпоративные пользователи | Этот уровень доверия приложения относится к приложениям с доступом в Интернет для обработки транзакций, используемым корпоративными пользователями и позволяющим получить доступ к корпоративным сервисам, пользовательским файлам и (или) транзакциям на сумму до 5000 долларов США |
4 | Высокий - безопасные транзакции и защита конфиденциальности данных в Интернете | Этот уровень доверия приложения относится к приложениям с доступом в Интернет для обработки транзакций, используемым корпоративными пользователями и позволяющим получить доступ к личной информации пользователей и (или) транзакциям на сумму от 5000 до 25000 долларов США |
5 | Приватный | Этот уровень доверия приложения относится к приложениям для обработки транзакций, которым требуется высокий уровень защиты, привилегированный доступ и (или) безопасное хранилище. Они имеют доступ к важной информации и (или) транзакциям на сумму свыше 25000 долларов США |
5.2.6 Результат
Службе безопасности приложений было поручено выбрать и приобрести инструментальное средство автоматического анализа исходного кода на языке Java с настраиваемыми правилами. После анализа предложений, поступивших от поставщиков, служба выбрала инструментальное средство под названием Efficient-Reviewer, версия 2.2.
В результате проекта были разработаны и внедрены пять МОБП версии 1.0.
Таблица 2 - МОБП ORGANIsation для анализа исходного кода
Идентификатор | Название | Уровень доверия приложения | Описание |
ORGANIsation-ASD-042 | Анализ исходного кода | Основной. | МОБП предназначена для использования разработчиками при анализе исходного кода приложений Java |
ORGANIsation-ASD-043 | Классификация кода | Основной. | Классификация всех Java классов в пакетах, необходимых приложению. |
ORGANIsation-ASD-044 | Базовый автоматический анализ исходного кода | Основной. | МОБП предназначена для использования разработчиками при внедрении процедуры анализа исходного кода Java, отнесенного к классам "Стратегический" и "Критически важный" |
ORGANIsation-ASD-045 | Расширенный автоматический анализ исходного кода | Средний - Интернет, корпоративные пользователи. | МОБП предназначена для использования разработчиками при внедрении процедуры анализа исходного |
ORGANIsation-ASD-046 | Экспертиза исходного кода | Высокий - безопасные транзакции и защита конфиденциальности данных в Интернете. | МОБП предназначена для использования разработчиками при внедрении экспертизы исходного кода Java, отнесенного к классам "Стратегический" и "Критически важный" |