Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27034-1-2014 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 11 июня 2014 г. N 564-ст)
- Приложение В (справочное). Сопоставление ASC существующих стандартов
Приложение В (справочное). Сопоставление ASC существующих стандартов
Приложение В
(справочное)
Сопоставление ASC существующих стандартов
Пример: сопоставление мер и средств контроля и управления безопасностью приложений, описанных в NIST SP 800-53 (редакция 3), с ASC, описанными в ИСО/МЭК 27034
Цель данного приложения - проиллюстрировать, как меры и средства контроля и управления безопасностью приложений из существующего источника, например из третьей редакции NIST SP 800-53, могут быть интегрированы как ASC для использования в соответствии с ИСО/МЭК 27034.
В.1 Категории потенциальных ASC
В данном подразделе сделана попытка рассмотреть возможные аспекты категорий потенциальных ASC, непосредственно приводимых в SP 800-53 (редакция 3).
Организация может определить следующие аспекты категории ASC, связанные с безопасностью приложений.
В.1.1 Аспекты, связанные с общими мерами и средствами контроля и управления безопасностью
Менеджмент мер и средств контроля и управления безопасностью, обозначенных организацией как общие меры и средства контроля и управления, в большинстве случаев осуществляется организационной сущностью, отличной от владельца информационной системы. Организационные решения, касающиеся общих мер и средств контроля и управления безопасностью, могут существенно повлиять на обязанности отдельных собственников информационной системы в связи с реализацией мер и средств контроля и управления в соответствии с тем или иным базовым уровнем. Каждая мера и средство контроля и управления на базовом уровне должны полностью рассматриваться либо организацией, либо владельцем информационной системы.
В.1.2 Аспекты, связанные с операционной деятельностью/средой
Меры и средства контроля и управления безопасностью, зависящие от характера операционной среды, применимы только в том случае, если информационная система используется в условиях, требующих этих мер и средств контроля и управления. Например, определенные меры и средства контроля и управления физической безопасностью могут быть неприменимы для космических информационных систем, а меры и средства контроля и управления температурой и влажностью могут быть неприменимы для дистанционных датчиков, существующих вне помещений, которые содержат информационные системы.
В.1.3 Аспекты, связанные с физической инфраструктурой
Меры и средства контроля и управления безопасностью, относящиеся к физической инфраструктуре, например к помещениям организации (физические меры и средства контроля и управления, такие как замки и охрана, меры и средства контроля и управления защитой от влияния внешней среды: температуры, влажности, грозовых разрядов, возгорания и проблем энергоснабжения), применимы только к тем их частям, которые непосредственно обеспечивают защиту и поддержку информационных систем или связаны с информационными системами (включая активы информационных технологий, такие как почтовые и веб-серверы, группы серверов, информационные центры, сетевые узлы, устройства защиты границ и аппаратура связи).
В.1.4 Аспекты, связанные с открытым доступом
Меры и средства контроля и управления безопасностью, связанные с общедоступными информационными системами, должны тщательно рассматриваться и применяться с осторожностью, поскольку некоторые меры и средства контроля и управления безопасностью определенных базовых уровней контроля и управления (например, идентификация и аутентификация, управление безопасностью персонала) могут быть неприменимы для пользователей, получающих доступ к информационным системам через общедоступные интерфейсы. Например, наряду с тем, что меры и средства контроля и управления безопасностью базового уровня требуют идентификации и аутентификации персонала организации, осуществляющего техническое обслуживание и поддержку информационных систем, предоставляющих услуги открытого доступа, те же меры и средства контроля и управления безопасностью могут не потребоваться для доступа к информационным системам через общедоступные интерфейсы для получения общедоступной информации. С другой стороны, в некоторых случаях будет требоваться идентификация и аутентификация для пользователей, получающих доступ к информационным системам через общедоступные интерфейсы, например, для доступа/изменения своей персональной информации.
В.1.5 Аспекты, связанные с технологией
Меры и средства контроля и управления безопасностью, относящиеся к определенным технологиям (например, беспроводная связь, криптография, инфраструктура открытых ключей), применимы только в том случае, если эти технологии используются в информационной системе или требуется их использование.
Меры и средства контроля и управления безопасностью применимы только к компонентам информационной системы, обеспечивающим или поддерживающим возможности безопасности, на которые направлены меры и средства контроля и управления безопасностью, и являющимися источниками потенциального риска, уменьшаемого посредством мер и средств контроля и управления безопасностью. Например, если компоненты информационной системы являются однопользовательскими, а не относящимися к сетевой структуре или локальной сетевой структуре, то одна или несколько таких характеристик могут обеспечивать соответствующее логическое обоснование для неприменения выбранных мер и средств контроля и управления безопасностью к данному компоненту.
Меры и средства контроля и управления безопасностью, которые могут явно или неявно поддерживаться автоматическими механизмами, не требуют разработки таких механизмов, если они еще не существуют или недоступны среди продуктов, готовых к использованию в коммерческих или государственных целях. В ситуациях, когда автоматические механизмы не являются доступными, экономически эффективными или технически осуществимыми, для компенсации определенных мер и средств контроля и управления безопасностью или расширений мер и средств контроля и управления, необходимо использовать компенсационные меры и средства контроля и управления безопасностью, реализующиеся путем неавтоматизированных механизмов или процедур (условия применения компенсационных мер и средств контроля и управления см. ниже).
В.1.6 Аспекты, связанные с политикой/регулятивными требованиями
Меры и средства контроля и управления безопасностью, предназначенные для решения вопросов, регулируемых соответствующими законами, административными указами, директивами, политиками, стандартами или предписаниями (например, оценки влияния на приватность), требуются только в том случае, если применение этих мер и средств контроля и управления безопасностью согласуется с видами информации и информационных систем, охватываемых соответствующими законами, административными указами, директивами, политиками, стандартами или предписаниями.
В.1.7 Аспекты, связанные с масштабируемостью
Меры и средства контроля и управления безопасностью масштабируемы в отношении объема и строгости реализации контроля и управления. Масштабируемость регулируется классификацией безопасности защищаемой информационной системы по FIPS 199. Например, план действий в чрезвычайных ситуациях для информационной системы с высоким влиянием по FIPS 199 может быть весьма объемным и содержать значительное количество деталей реализации. В отличие от этого план действий в чрезвычайных ситуациях для информационной системы с низким влиянием по FIPS 199 может быть значительно короче и содержать гораздо меньше деталей реализации. Организации должны осмотрительно применять меры и средства контроля и управления безопасностью к информационным системам, учитывая факторы масштабируемости в конкретной среде. Такой подход способствует экономически эффективному, основанному на риске подходу к реализации мер и средств контроля и управления безопасностью, при котором затрачивается ресурсов не больше, чем это необходимо, однако достигаются существенное уменьшение риска и адекватная безопасность.
В.1.8 Аспекты, связанные с целями безопасности
Меры и средства контроля и управления безопасностью, однозначным образом поддерживающие цели безопасности по обеспечению конфиденциальности, целостности или доступности, могут быть понижены до более низкого базового уровня мер и средств контроля и управления (соответствующим образом модифицированы или устранены, если они не определены в более низком базовом уровне) тогда и только тогда, если такое понижение: (i) согласуется с классификацией безопасности FIPS 199 для соответствующих целей безопасности по обеспечению конфиденциальности, целостности или доступности до перемещения на отметку максимального уровня; (ii) поддерживается оценкой риска организации; (iii) не влияет на имеющую отношение к безопасности информацию в информационной системе. Рекомендуемыми на понижение мерами и средствами контроля и управления безопасностью являются следующие: (i) конфиденциальность [АС-15, МА-3 (3), МР-2 (1), MP-3, МР-4, МР-5 (1) (2) (3), МР-6, РЕ-5, SC-4, SC-9]; (ii) целостность [SC-8] и (iii) доступность [СР-2, СР-3, СР-4, СР-6, СР-7, СР-8, МА-6, РЕ-9, РЕ-10, РЕ-11, РЕ-13, РЕ-15, SC-6].
В.2 Классы мер и средств контроля и управления безопасностью
В данном подразделе представлена классификации ASC, взятых из SP 800-53 (редакция 3).
Таблица В.1 - Идентификаторы, семейства и классы мер и средств контроля и управления безопасностью
|
Идентификатор |
Семейство |
Класс |
|
АС |
Управление доступом |
Технические |
|
AT |
Информирование и обучение |
Операционные |
|
AU |
Аудит и подотчетность |
Технические |
|
СА |
Сертификация, аккредитация и оценки безопасности |
Административные |
|
СМ |
Менеджмент конфигурации |
Операционные |
|
CP |
Планирование действий в чрезвычайных ситуациях |
Операционные |
|
IA |
Идентификация и аутентификация |
Технические |
|
IR |
Реагирование на инциденты |
Операционные |
|
МА |
Техническое обслуживание |
Операционные |
|
MP |
Защита носителей данных |
Операционные |
|
РЕ |
Физическая защита и защита от влияния внешней среды |
Операционные |
|
PL |
Планирование |
Административные |
|
PS |
Безопасность, связанная с персоналом |
Операционные |
|
RA |
Оценка риска |
Административные |
|
SA |
Приобретение систем и услуг |
Административные |
|
SC |
Защита систем и средств связи |
Технические |
|
SI |
Целостность информации и систем |
Операционные |
В.3 Подклассы класса мер и средств контроля и управления доступом (АС)
В данном подразделе рассматривается взятая непосредственно из SP 800-53 (редакция 3) информация, которая может быть использована для создания мер и средств контроля и управления безопасностью приложений, связанных с управлением доступом.
Таблица В.2 - Классы мер и средств контроля и управления безопасностью и базовые уровни контроля и управления безопасностью для информационных систем с низким, средним и высоким уровнем влияния
|
Название меры и средства контроля и управления безопасностью |
Уровень контроля |
|||
|
Управление доступом |
Низкий |
Средний |
Высокий |
|
|
АС-1 |
Политика и процедуры управления доступом |
АС-1 |
АС-1 |
|
|
АС-2 |
Менеджмент учетных записей |
АС-2 |
АС-2 (1) (2) (3) (4) |
АС-2 (1) (2) (3) (4) |
|
АС-3 |
Обеспечение доступа |
АС-3 |
АС-3 (1) |
АС-3 (1) |
|
АС-4 |
Обеспечение информационного потока |
Не выбран |
АС-4 |
АС-4 |
|
АС-5 |
Разделение обязанностей |
Не выбран |
АС-5 |
АС-5 |
|
АС-6 |
Принцип наименьших привилегий |
Не выбран |
АС-6 |
АС-6 |
|
АС-7 |
Неуспешные попытки регистрации |
АС-7 |
АС-7 |
АС-7 |
|
АС-8 |
Уведомление об использовании системы |
АС-8 |
АС-8 |
АС-8 |
|
АС-9 |
Уведомление о предыдущем входе в систему |
Не выбран |
Не выбран |
Не выбран |
|
АС-10 |
Контроль одновременных сессий |
Не выбран |
Не выбран |
АС-10 |
|
АС-11 |
Блокирование сессии |
Не выбран |
АС-11 |
АС-11 |
|
АС-12 |
Завершение сессии |
Не выбран |
АС-12 |
АС-12 (1) |
|
АС-13 |
Надзор и проверка - управление доступом |
АС-13 |
АС-13 (1) |
АС-13 (1) |
|
АС-14 |
Разрешенные действия без идентификации и аутентификации |
АС-14 |
АС-14 (1) |
АС-14(1) |
|
АС-15 |
Автоматическая маркировка |
Не выбран |
Не выбран |
АС-15 |
|
АС-16 |
Автоматическое присваивание меток |
Не выбран |
Не выбран |
Не выбран |
|
АС-17 |
Удаленный доступ |
АС-17 |
АС-17 (1) (2) (3) (4) |
АС-17 (1) (2) (3) (4) |
|
АС-18 |
Ограничения беспроводного доступа |
АС-18 |
АС-18 (1) |
АС-18 (1) (2) |
|
АС-19 |
Управление доступом для портативных и мобильных устройств |
Не выбран |
АС-19 |
АС-19 |
|
АС-20 |
Использование внешних информационных систем |
АС-20 |
АС-20 (1) |
АС-20 (1) |
В.4 Детализация класса мер и средств контроля и управления доступом
В данном подразделе показаны три семейства класса управления доступом: АС-1, АС-2, АС-17, которые взяты из SP 800-53 (редакция 3).
СЕМЕЙСТВО: УПРАВЛЕНИЕ ДОСТУПОМ КЛАСС: ТЕХНИЧЕСКИЕ
В.4.1 АС-1 Политика и процедуры управления доступом
Мера и средство контроля и управления: Организация разрабатывает, распространяет и периодически пересматривает/обновляет:
1) надлежащим образом документально оформленную политику управления доступом, рассматривающую цели, сферу действия, роли, обязанности, обязательства руководства, координацию организационных подразделений и соответствие требованиям;
2) надлежащим образом документально оформленные процедуры для содействия реализации политики управления доступом и соответствующих мер и средств контроля и управления доступом.
Дополнительное руководство: Политика и процедуры управления доступом согласуются с применяемыми законами, распоряжениями правительства, директивами, политиками, предписаниями, стандартами и руководствами. Политика управления доступом может включаться в общую политику информационной безопасности организации как отдельная часть. Процедуры управления доступом могут разрабатываться для программы обеспечения безопасности в целом и, когда необходимо, для конкретной информационной системы. Специальная публикация NIST SP 800-12 предоставляет руководство по политикам и процедурам обеспечения безопасности.
Приоритетность и базовое размещение:
|
Расширения мер и средств контроля и управления: Нет. Низкий АС-1 |
Средний АС-1 |
Высокий АС-1 |
В.4.2 АС-2 Менеджмент учетных записей
Мера и средство контроля и управления: Организация осуществляет менеджмент учетных записей информационной системы, включая:
1) идентификацию типов учетных записей (например, индивидуальные, групповые и системные);
2) установление условий для членства в группе;
3) идентификацию уполномоченных пользователей информационной системы и определение прав/привилегий доступа;
4) требование соответствующего утверждения запросов о создании учетных записей;
5) санкционирование, создание, активацию, модификацию, блокирование и удаление учетных записей;
6) проверку учетных записей [Назначение: устанавливаемая организацией частота];
7) специальное санкционирование и мониторинг использования гостевых/анонимных учетных записей;
8) уведомление лиц, осуществляющих менеджмент учетных записей, об увольнении и переводе пользователей информационной системы или об изменении использования информационной системы или принципа необходимого знания/необходимого совместного использования;
9) предоставление доступа к информационной системе на основе: (i) принципа необходимого знания или необходимого совместного использования, который определяется назначенными должностными обязанностями и соответствием всем критериям безопасности, связанным с персоналом; (ii) предназначенного использования системы.
Дополнительное руководство: Идентификация уполномоченных пользователей информационной системы и определение прав/привилегий доступа согласуются с требованиями других мер и средств контроля и управления безопасностью в плане обеспечения безопасности. Взаимосвязанные меры и средства контроля и управления: АС-1, АС-3, АС-4, АС-5, АС-6, АС-10, АС-13, АС-17, АС-19, АС-20, AU-9, СМ-5, СМ-6, МА-3, МА-4, МА-5, SA-7, SI-9, SC-13.
Расширения меры и средства контроля и управления:
1) организация использует механизмы автоматизации для поддержки менеджмента учетных записей информационной системы;
2) информационная система автоматически прекращает действие временных учетных записей и учетных записей об аварийных ситуациях после [Назначение: устанавливаемый организацией период времени для каждого вида учетных записей];
3) информационная система автоматически блокирует неактивные учетные записи после [Назначение: устанавливаемый организацией период времени];
4) информационная система автоматически осуществляет аудит создания, модификации, блокирования и прекращения действия учетных записей и уведомляет по требованию соответствующих лиц;
5) организация проводит проверку активных на настоящий момент учетных записей информационной системы [Назначение: устанавливаемая организацией частота] для подтверждения того, что временные учетные записи и учетные записи уволившихся или переведенных пользователей деактивированы в соответствии с политикой организации;
6) организация запрещает использование идентификаторов учетных записей информационной системы в качестве идентификаторов учетных записей электронной почты.
Приоритетность и базовое размещение:
|
Низкий АС-2 |
Средний АС-2 (1) (2) (3) (4) (5) (6) |
Высокий АС-2 (1) (2) (3) (4) (5) (6) |
В.4.3 АС-17 Удаленный доступ
Мера и средство контроля и управления: Организация:
1) документирует разрешенные методы удаленного доступа к информационной системе;
2) устанавливает ограничения на использование и руководство по реализации для каждого разрешенного метода удаленного доступа;
3) санкционирует удаленный доступ к информационной системе до подключения;
4) обеспечивает соблюдение требований удаленного подключения к информационной системе.
Дополнительное руководство: Удаленным доступом является любой доступ пользователя (или процесса, действующего от имени пользователя) к информационной системе организации по внешней, не контролируемой организацией сети (например, Интернет). Примеры методов удаленного доступа: коммутируемое соединение по телефонной линии, широкополосный доступ и беспроводной доступ. Виртуальная частная сеть (Virtual Private Network - VPN) при адекватном обеспечении может рассматриваться как контролируемая организацией сеть. При беспроводном доступе излучаемые сигналы в пределах контролируемых организацией помещений обычно рассматриваются как находящиеся вне контроля организации. Беспроводные технологии включают (но не ограничиваются) СВЧ-связь, спутниковую связь, пакетную радиосвязь (УВЧ/ОВЧ), 802.11х и Bluetooth. Меры и средства контроля и управления удаленным доступом применимы к информационным системам, отличным от общедоступных веб-серверов или систем, специально предназначенных для открытого доступа. Обеспечение соблюдения связанных с удаленными соединениями ограничений доступа к информационной системе осуществляется посредством меры и средства контроля и управления АС-3. NIST SP 800-77 предоставляет руководство по виртуальным частным сетям на основе протокола IPsec, NIST SP 800-48 и NIST SP 800-97 - руководство по безопасности беспроводной сети, NIST SP 800-94 - руководство по обнаружению и предотвращению беспроводного вторжения. Взаимосвязанные меры и средства контроля и управления: АС-1, АС-3, АС-20, IA-2, IA-8.
Расширения меры и средства контроля и управления:
1) организация использует механизмы автоматизации для облегчения мониторинга и контроля методов удаленного доступа;
2) организация использует криптографию для защиты конфиденциальности и целостности сеансов связи удаленного доступа.
Дополнительное руководство по расширению: Стойкость криптографического механизма выбирается на основе уровня влияния на информацию по FIPS 199. Взаимосвязанные меры и средства контроля и управления: SC-8, SC-9;
3) информационная система направляет весь удаленный доступ через ограниченное число контролируемых точек управления доступом;
4) организация санкционирует удаленный доступ к привилегированным командам и относящейся к безопасности информации только при настоятельной операционной потребности и документирует логическое обоснование такого доступа в плане обеспечения безопасности для информационной системы.
Дополнительное руководство по расширению: Взаимосвязанная мера и средство контроля и управления: АС-6;
5) информационная система обеспечивает защиту беспроводного доступа к системе, используя аутентификацию и шифрование.
Дополнительное руководство по расширению: Аутентификация применяется к пользователям, устройствам или и к тем и другим, при необходимости;
6) организация осуществляет мониторинг на предмет несанкционированных удаленных соединений с информационной системой, включая сканирование на предмет несанкционированных точек беспроводного доступа [Назначение: устанавливаемая организацией частота], и принимает соответствующие меры при обнаружении несанкционированного соединения.
Дополнительное руководство по расширению: Организации осуществляют профилактический поиск несанкционированных удаленных соединений, включая проведение тщательного сканирования на предмет несанкционированных точек беспроводного доступа. Сканирование необязательно ограничено только теми областями в объекте, которые содержат информационные системы, однако за пределами этих областей оно проводится только при необходимости подтверждения того, что несанкционированные точки беспроводного доступа не соединены с системой;
7) организация отключает не планируемые для использования беспроводные сетевые возможности, которые внутренне встроены в компоненты информационной системы, до выпуска;
8) организация не разрешает пользователям самостоятельно конфигурировать беспроводные сетевые возможности;
9) организация обеспечивает уверенность в том, что пользователи защищают информацию о механизмах удаленного доступа от несанкционированного использования и раскрытия;
10) организация обеспечивает уверенность в том, что удаленные сеансы связи для доступа к [Назначение: устанавливаемый организацией список функций безопасности и информации, относящейся к безопасности] используют дополнительные меры безопасности [Назначение: устанавливаемые организацией меры безопасности] и подвергаются аудиту;
11) организация отключает беспроводные одноранговые сетевые возможности в информационной системе, за исключением однозначно идентифицируемых компонентов, в поддержку конкретных операционных требований;
12) организация отключает беспроводные сетевые возможности Bluetooth в информационной системе, за исключением однозначно идентифицируемых компонентов, в поддержку конкретных операционных требований.
Приоритетность и базовое размещение:
|
Низкий АС-17 |
Средний АС-17 (1) (2) (3) (4) (5) |
Высокий АС-17 (1) (2) (3) (4) (5) (6) |
В.5 Описание ASC, основанное на примере мер и средств контроля и управления из SP 800-53
В данном подразделе представлено, как мера и средство контроля и управления AU-14 из SP 800-53 (редакция 3) может быть описана с использованием структуры мер и средств контроля и управления безопасностью приложений ИСО/МЭК 27034.
Полная и точная структура данных мер и средств контроля и управления безопасностью приложений будет представлена в ИСО/МЭК 27034-5.
В.5.1 Мера и средство контроля и управления AU-14, описанная в SP 800-53 (редакция 3)
Мера и средство контроля и управления AU-14 описывается в SP 800-53 (редакция 3) следующим образом:
AU-14 АУДИТ СЕАНСА СВЯЗИ
Мера и средство контроля и управления: Информационная система предоставляет возможность:
a) сбора/регистрации и протоколирования всего контента, связанного с сеансом связи пользователя;
b) удаленного просмотра/прослушивания всего контента, связанного с установленным сеансом связи пользователя, в режиме реального времени.
Дополнительное руководство: Мероприятия аудита сеанса связи разрабатываются, интегрируются и используются после консультации с юрисконсультом в соответствии с применяемыми федеральными законами, административными указами, директивами, политиками или предписаниями.
Расширения меры и средства контроля и управления:
1) информационная система инициирует аудиты сеансов связи при запуске системы.
Ссылки: Нет.
Приоритетность и базовое размещение:
|
Низкий Не выбран |
Средний Не выбран |
Высокий Не выбран |
В.5.2 Мера и средство контроля и управления AU-14, описанная с использованием формата ASC ИСО/МЭК 27034
Мера и средство контроля и управления AU-14 может быть описана как ASC в соответствии с ИСО/МЭК 27034, как показано в таблице В.3.
Таблица В.3 - Мера и средство контроля и управления AU-14 из SP 800-53, описанная с использованием формата ASC ИСО/МЭК 27034
|
Поле |
Описание |
Значение |
|
Идентификация ASC: | ||
|
ASC-AU-14_Id-Label: |
Текст: Название ASC |
Аудит сеанса связи |
|
ASC-AU-14_Id-UID: |
Текст: Уникальный идентификационный номер ASC |
ASC-AU-14 |
|
ASC-AU-14_Id-Description: |
Текст: Описание ASC открытым текстом |
Информационная система предоставляет возможность: a) сбора/регистрации и протоколирования всего контента, связанного с сеансом связи пользователя; b) удаленного просмотра/прослушивания всего контента, связанного с установленным сеансом связи пользователя, в режиме реального времени. Дополнительное руководство: Мероприятия аудита сеанса связи разрабатываются, интегрируются и используются после консультации с юрисконсультом в соответствии с применяемыми федеральными законами, административными указами, директивами, политиками или предписаниями |
|
ASC-AU-14_Id-Author name |
Текст: фамилия, имя, отчество |
Wubu, Darning |
|
ASC-AU-14_Id-Author company name |
Текст: |
Корпорация ACME |
|
ASC-AU-14_Id-Author email |
Текст: адрес электронной почты |
Wdaming@ACME.com |
|
ASC-AU-14_Id-Author signature |
Знаковая хэш-функция исходной ASC |
8947358970734205279067248 |
|
ASC-AU-14_Id-Organization UID: |
Идентификатор (ID) организации |
JTC1/SC27 WG4 27034-1 WD3 01-001 |
|
ASC-AU-14_Id-Creation date: |
Дата: год-месяц-день |
2009-04-08 |
|
ASC-AU-14_Id-Pointer to parent: |
Материнская ASC: Список ID ASC или Нулевая информация |
Нулевая информация |
|
ASC-AU-14_Id-Pointer to children: |
Дочерняя ASC: Список ID ASC или Нулевая информация |
Нулевая информация |
|
ASC-AU-14_Id-Pointers to the business context: |
Список бизнес-контекста или Нулевая информация |
Финансовая |
|
ASC-AU-14_Id-Pointer to the regulatory context: |
Список регулятивного контекста или Нулевая информация |
Закон об обеспечении приватности #RF76G7, статья 4.11 |
|
ASC-AU-14_Id-Pointer to the technological context: |
Список технологического контекста или Нулевая информация |
Нулевая информация |
|
ASC-AU-14_App_Specification: |
Спецификации приложения, обеспечивающие требования безопасности для ASC |
Приложение устанавливает стабильный сеанс связи |
|
ASC-AU-14_Id-ASC XML version |
Версия XML-схемы ASC: Номер версии |
v1.0 Beta |
|
Цели ASC: | ||
|
ASC-AU-14_Obj-Level-of-Trust: |
1 или n - целевые уровни доверия: на каком уровне доверия активна данная ASC. Может быть связана с несколькими уровнями |
5, 6, 7, 8, 9 |
|
ASC-AU-14_Obj-why: |
Причины существования данной ASC. Идентификация потребностей руководства, руководителя группы, группы разработки, аудитора и т.д. Цель также точно определяет, что будет оцениваться |
Обеспечение уверенности в том, что пользователь соблюдает закон об обеспечении приватности #RF76G7, статья 4.11, и политику организации по допустимому использованию |
|
ASC-AU-14_LevelOfTrustTotalLevels: |
Диапазон уровней доверия, используемый организацией |
0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
|
ASC-AU-14_LevelOfTrust-why: |
|
Аудит сеанса связи требует значительных ресурсов и необходим только для приложений, обрабатывающих персональную информацию |
|
ASC-AU-14_AppSpec_ComplToReg_St ds&BestPractices: |
Стандарты, с которыми связана данная ASC (ITIL, Cobit, ИСО 17799, RUP, название образца проектирования и т.д.) |
NIST SP-800-53 Rev. 3, AU-14 |
|
Мероприятие по обеспечению безопасности ASC: | ||
|
ASC-AU-14_SecAct-Label: |
Текст: Название мероприятия |
Реализация класса аудита сеанса связи из утвержденной библиотеки по безопасности |
|
ASC-AU-14_SecAct-UID: |
Текст: Уникальный ID мероприятия обеспечения безопасности |
ACT-001-JAVA027 |
|
ASC-AU-14_SecAct-Description: |
Полное описание мероприятия. Оно представляет, кто что выполняет. Ориентировочно, это описание процессов и действующих субъектов, необходимых для реализации или оценивания меры |
Использование утвержденной организацией библиотеки по безопасности JAVA для реализации безопасного процесса аудита сеанса связи в приложении |
|
ASC-AU-14_SecAct-Complexity: |
Сложность мероприятия: Простое, стандартное, сложное, очень сложное |
Простое |
|
ASC-AU-14_SecAct-who_Role: |
Существующая роль в организации |
Разработчик |
|
ASC-AU-14_SecAct-who_Responsibility: |
R = реализация, Р = участие, ... |
R |
|
ASC-AU-14_SecAct-who_Qualification: |
Квалификация для мероприятия: Представляет необходимую квалификацию действующих субъектов |
Средний или более высокий уровень квалификации разработчика |
|
ASC-AU-14_SecAct-When: |
Целевая точка мероприятия в эталонной модели жизненного цикла безопасности приложений ИСО/ МЭК 27034 |
Этап разработки, мероприятие разработки элементов |
|
ASC-AU-14_SecAct-Artefact: |
Артефакт: Название и описание артефакта, создаваемого в результате мероприятия |
Обращение к соответствующему примеру JAVA |
|
ASC-AU-14_SecAct-Result_Expected: |
Ожидаемые результаты: Описание ситуации, состояния или точного значения артефакта |
Для каждой транзакции класс обязан посылать детали транзакций в службу безопасного протоколирования организации. В конце этого мероприятия ожидаются результаты тестирования элементов и документация стратегии |
|
ASC-AU-14_SecAct-cost: |
Стоимость мероприятия: Стоимость выполнения этого мероприятия (человеко-дни, денежные суммы и т.д.) |
10 человеко-дней |
|
Верификационное измерение ASC: | ||
|
ASC-AU-14_VerfMeas-Label: |
|
Верификация реализации компонентов аудита сеанса связи |
|
ASC-AU-14_VerfMeas-UID: |
|
VeM-001-JAVA453 |
|
ASC-AU-14_VerfMeas-Description: |
|
Верификация того, что для каждой транзакции класс посылает детали транзакций в службу безопасного протоколирования организации. Верификация того, что результаты тестирования элементов и документация стратегии представлены и являются успешными |
|
ASC-AU-14_VerfMeas-Complexity |
Сложность верификационного измерения: Простое, стандартное, сложное, очень сложное |
Стандартное |
|
ASC-AU-14_VerfMeas-who_Role: |
|
Главный специалист по проверке кода |
|
ASC-AU-14_VerfMeas-who_Respons-ability: |
R = реализация, Р = участие, ... |
R |
|
ASC-AU-14_VerfMeas-who_Qualification: |
Квалификация для мероприятия контроля: Представляет необходимую квалификацию действующих субъектов |
Старший разработчик Java |
|
ASC-AU-14_VerfMeas-when_Phase: |
Целевая деятельность в эталонной модели жизненного цикла безопасности приложений ИСО/МЭК 27034 |
Этап разработки, мероприятие функционального тестирования |
|
ASC-AU-14_VerfMeas-Artefact: |
|
Результат должен быть TRUE для всех верификационных измерений |
|
ASC-AU-14_VerfMeas-cost: |
Затраты на контрольные мероприятия: Затраты на верификацию этого мероприятия (человеко-дни, денежные суммы и т.д.). Может определять потребность в периодической оценке |
1 человеко-день |