ГОСТ Р ИСО/МЭК 27034-5-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность приложений
Часть 5
Структуры данных протоколов и мер обеспечения безопасности приложений
Information technology. Security techniques. Application security. Part 5. Protocols and application security controls data structure
ОКС 35.030
Дата введения 2021-06-01
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2020 г. N 1043-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27034-5:2017* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений" (ISO/IEC 27034-5:2017 "Information technology - Security techniques - Application security - Part 5: Protocols and application security controls data structure", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27034-5 подготовлен подкомитетом 27 "Методы и средства обеспечения безопасности" Совместного технического комитета ИСО/МЭК СТК 1 "Информационные технологии".
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Общая информация
В настоящее время организации сталкиваются с постоянно растущей потребностью уделять внимание защите информации на уровне приложений. Систематический подход к повышению уровня защиты приложений дает организациям основания полагать, что информация, используемая или хранимая приложениями, надежно защищена.
Все части ИСО/МЭК 27034 описывают понятия, принципы, структуры, компоненты и процессы в целях помощи организациям последовательно интегрировать средства и механизмы безопасности на протяжении жизненного цикла приложений.
Ключевыми компонентами настоящего стандарта являются меры обеспечения безопасности приложений (МОБП).
Для облегчения внедрения комплексов мер защиты приложений, а также механизмов передачи и обмена МОБП, описанных в ИСО/МЭК 27034 (все части), требуется задокументировать и объяснить минимальный набор наиболее важных атрибутов для реализации МОБП и других определенных компонентов этой структуры.
В настоящем стандарте описывается минимальный набор наиболее важных атрибутов МОБП, а также даются дополнительные сведения об эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП).
Назначение
В настоящем стандарте представлены основные сведения и требования к структуре данных МОБП. Наличие стандартизированного набора основных атрибутов информации и структуры данных МОБП имеет следующие преимущества:
a) нормализация процессов создания, передачи, защиты и верификации МОБП в соответствии с требованиями настоящего стандарта;
b) снижение затрат на безопасность в проектах приложений до минимума путем облегчения повторного использования одобренных мер обеспечения безопасности, а также получения МОБП из разных источников.
Кроме того, в настоящем стандарте определяются и подробно описываются процессы, мероприятия и должностные роли внутри эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП).
Целевая аудитория
Общая информация
Настоящий стандарт полезен для следующих групп лиц при осуществлении своих ролей в организации:
a) руководители;
b) группа нормативной структуры организации (группа НСО);
c) эксперты в предметной области;
d) поставщики;
e) приобретающие стороны.
Руководители
Руководителям необходимо ознакомиться с настоящим стандартом, поскольку в их обязанности входит:
a) обеспечение возможности повторного использования МОБП внутри организации;
b) обеспечение доступности МОБП, а также их передача и использование в проектах приложений с помощью надлежащих инструментов и процедур во всей организации.
Группа НСО
Группа НСО несет ответственность за управление, внедрение и обслуживание компонентов и процессов, связанных с безопасностью приложений, в нормативной базе организации. В обязанности группы НСО входят следующие мероприятия:
a) внедрение библиотеки МОБП;
b) утверждение МОБП, которые адекватно снижают угрозы безопасности приложений;
c) управление затратами на внедрение и сопровождение МОБП.
Эксперты в предметной области
Эксперты в предметной области обеспечивают знания, необходимые для подготовки к работе, эксплуатации и аудита приложений. В обязанности экспертов входят следующие мероприятия:
a) участие в разработке, валидации и верификации МОБП;
b) участие во внедрении и сопровождении МОБП, предлагая стратегии, компоненты и процессы внедрения для встраивания МОБП в условиях организации;
c) подтверждение пригодности и полезности МОБП для применения в прикладных проектах.
Поставщики инструментов обеспечения безопасности и МОБП
Поставщики содействуют разработке, обслуживанию и распространению инструментов и (или) МОБП. В обязанности поставщиков входят следующие мероприятия:
a) создание, проверка, обеспечение целостности (с помощью принятых методов, например, подписания), распространение и применение МОБП;
b) действия в соответствии с общим и стандартизированным протоколом (структура и формат) обмена МОБП.
Приобретатель инструментов обеспечения безопасности и МОБП
Приобретающей стороной являются физические или юридические лица, которые хотят получить МОБП. В обязанности приобретающей стороны входят следующие мероприятия:
a) интегрирование МОБП в структуре организации и обеспечение взаимодействия любых внутренних и сторонних МОБП;
b) адаптация и обеспечение целостности МОБП;
c) обеспечение соответствия задач и мероприятий, связанных с приобретенными МОБП, и жизненного цикла приложения организации.
Настоящий стандарт содержит сведения о минимальном наборе основных атрибутов МОБП, а также описывает мероприятия и роли в рамках эталонной модели жизненного цикла безопасности приложений (ЭМЖЦБП).
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ИСО/МЭК 27034-1, Information technology - Information technology - Security techniques - Application security - Part 1: Overview and concepts (Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия)
В настоящем стандарте используются термины и определения по ИСО/МЭК 27034-1, а также следующие термины и определения.
ИСО и МЭК ведут терминологические базы данных для использования в стандартизации по следующим адресам:
- просмотр ISO Online: доступ по адресу https://www.iso.org/obp;
- IEC Electropedia: доступно по адресу http://www.electropedia.org/.
3.1 мероприятие (activity): Набор действий или задач, выполняемых действующим субъектом в течение жизненного цикла приложения.
3.2 информационная группа (information group): Список информационных элементов, которым организация может присвоить обозначения, например имена, описания и значения категорий.
Примечание - Во избежание путаницы, название информационной группы внутри организации должно быть уникальным.
3.3 информационный элемент (information element): Часть информации, которую необходимо классифицировать и идентифицировать по имени, описанию и значению домена (например, полю в базе данных).
Примечание - Информационная группа может рассматриваться как информационный элемент.
МОБП | Меры обеспечения безопасности приложений (ASC) |
ЖЦБП | Жизненный цикл безопасности приложения (ASLC) |
ЭМЖЦБП | Эталонная модель жизненного цикла безопасности приложения (ASLCRM) |
ИКТ | Информационно-коммуникационные технологии (ICT) |
НСО | Нормативная структура организации (ONF) |
Каждая МОБП определяет мероприятия, связанные с безопасностью, которые проводятся в определенной точке жизненного цикла приложения с целью снизить угрозу безопасности или удовлетворить определенное требование. Мероприятие по обеспечению безопасности дополняется верификационными измерениями, которые определяют действия, необходимые для подтверждения успеха осуществления этого мероприятия. В отношении мероприятия по обеспечению безопасности и верификационных измерений МОБП устанавливают, как, где, когда и кем должно быть проведено мероприятие. Также указывается информация о требуемых действиях.
В данном разделе описываются информационные требования к МОБП и даются рекомендации относительно структуры данных. Организации могут реализовать информационные требования, а также требования к структуре данных в виде описания или любой другой подходящей структуры данных, которая лучше всего соответствует требованиям и нуждам организации.
Примечания