Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27034-2-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 14 мая 2021 г. N 350-ст)
- Приложение А (справочное). Согласование НСО и ПМБП с ИСО/МЭК 15288 и ИСО/МЭК 12207 с помощью ИСО/МЭК 15026-4
Приложение А (справочное). Согласование НСО и ПМБП с ИСО/МЭК 15288 и ИСО/МЭК 12207 с помощью ИСО/МЭК 15026-4
Приложение А
(справочное)
Согласование НСО и ПМБП с ИСО/МЭК 15288 и ИСО/МЭК 12207 с помощью ИСО/МЭК 15026-4
А.1 Общие положения
ИСО/МЭК 15026-4 ("Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантия жизненного цикла") предоставляет руководящие принципы и рекомендации по выполнению процессов, мероприятий и задач для анализа определенных свойств систем и программных продуктов, входящих в список особенно важных и требующих проверки свойств, т.е. являющихся критически важными свойствами.
ИСО/МЭК 15026-4 содержит независимый от свойств продукта список процессов, мероприятий и задач, предназначенных для оценки соответствия заявленных свойств и их одобрения. Если заинтересованные стороны выбрали для проверки в качестве важного свойство, связанное с безопасностью приложения, ПМБП предоставляет руководство для подтверждения этих требований.
А.2 Сопоставление
В таблице А.1 приведено сопоставление подразделов ИСО/МЭК 15026-4, ИСО/МЭК 15288 и ИСО/МЭК 12207, элемента ПМБП по ИСО/МЭК 27034-1 и роли элемента ПМБП в критически важных процессах ИСО/МЭК 15026 (все части), чтобы выполнить требования безопасности приложения.
Примечания
1 Хотя все процессы из ИСО/МЭК 15288 и ИСО/МЭК 12207 помогают в разработке, но именно процессы, считающиеся критическими в ИСО/МЭК 15026 (все части), являются наиболее актуальными для НСО и процессов менеджмента НСО. Как и в случае критериев соответствия из ИСО/МЭК 15026 (все части), процессы, связанные с соглашением, проектированием, техническим контекстом и программным обеспечением из ИСО/МЭК 15026 следует задействовать, хотя они не являются целью этого сопоставления.
2 ИСО/МЭК 27034-3 содержит процессы обеспечения безопасности приложений, а также информацию об их взаимоотношениях и согласованности с управленческими и техническими процессами из ИСО/МЭК 15288 и ИСО/МЭК 12207.
3 ИСО/МЭК 27034-4 содержит процессы валидации безопасности приложения, с помощью которых измеряется уровень доверия приложения.
Таблица А.1 - Сопоставление подразделов ИСО/МЭК 15026-4, ИСО/МЭК 15288, ИСО/МЭК 12207 и ИСО/МЭК 27034
|
Подраздел ИСО/МЭК 15026-4 |
Пункты ИСО/МЭК 15288 и ИСО/МЭК 12207 |
Элемент процесса ПМБП (по ИСО/МЭК 27034-1) |
Роль элемента ПМБП в критических процессах ИСО/МЭК 15026 (все части) |
|
7.2 Процесс приобретения |
ИСО/МЭК 15288:2008 (пункт 6.1.1); ИСО/МЭК 12207:2008 (пункт 6.1.1) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Если для приложения или программного средства используется приобретаемый ПМБП, то необходимо обеспечить, чтобы в соглашении учитывались методы работы/ожидания в сфере безопасности приложения приобретателя в течение всего жизненного цикла приобретаемого элемента приложения. При планировании обеспечения и эксплуатации приложения необходимо, чтобы приобретаемый элемент приложения вписывался в процессы безопасности приобретающей стороны (или ожидаемые процессы), включая критерии приемки, механизмы доставки, возможность взлома во время доставки, обнаружение аномалий и подделок в элементах приложения по прибытии, условия устранения дефектов, управление обновлениями и т.д. |
|
7.3 Процесс поставки |
ИСО/МЭК 15288:2008 (пункт 6.1.2); ИСО/МЭК 12207:2008 (пункт 6.1.2) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Если ПМБП создавался для приложения или программного средства, которое будет использовать приобретающая сторона, то ПМБП должен внедряться таким образом, чтобы приобретающая сторона получала от поставщика продукт или услугу, соответствующие согласованным требованиям. При планировании обеспечения и эксплуатации приложения необходимо оценить процессы обеспечения безопасности приобретаемого элемента приложения, чтобы они вписывались в процессы безопасности покупателя, включая критерии приемки, механизмы доставки, возможность взлома во время доставки, обнаружение аномалий, обнаружение подделок в элементах приложения по прибытии, условия устранения дефектов, управление обновлениями и т.д. |
|
7.4 Процесс планирования проекта |
ИСО/МЭК 15288:2008 (пункт 6.3.1); ИСО/МЭК 12207:2008 (пункт 6.3.1) |
7.3.4 Создание и поддержка нормативной структуры приложения |
Процессы планирования проекта должны использовать ПМБП и созданные в результате НСП для определения и поддержки модели жизненного цикла, состоящей из этапов, используя определенные модели жизненного цикла безопасности приложения организации. При внедрении процесса менеджмента моделями жизненного цикла необходимо использовать ПМБП для создания стандартных моделей жизненного цикла безопасности приложений организации. В процессе планирования проекта необходимо адаптировать эти организационные процессы к конкретным потребностям проекта |
|
7.5 Процесс менеджмента решений |
ИСО/МЭК 15288:2008 (пункт 6.3.3); ИСО/МЭК 12207:2008 (пункт 6.3.3) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Мероприятия, входящие в процесс принятия решений, должны обеспечить учет последствий использования системы безопасности приложения при принятии решений во время обеспечения и эксплуатации приложения |
|
7.6 Процесс менеджмента рисков |
ИСО/МЭК 15288:2008 (пункт 6.3.4); ИСО/МЭК 12207:2008 (пункт 6.3.4) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Риски, связанные с безопасностью проекта приложений, необходимо в полной мере учитывать в процессе менеджмента рисков при установлении приоритетов, принятии решений, создании и поддержании профиля рисков и обработки рисков. Обеспечение и эксплуатация приложения, а также связанные с этим риски необходимо реалистично оценить, включая риск того, что необходимо будет переделать часть приложения. Необходимо оценить потенциальную возможность недостижения необходимого в рамках проекта уровня безопасности приложения, что может привести к рискам, связанным с сертификацией либо аккредитацией системы, или к невозможности использования программного средства по назначению |
|
7.7 Процесс менеджмента конфигурации |
ИСО/МЭК 15288:2008 (пункт 6.3.5); ИСО/МЭК 12207:2008 (пункт 6.3.5) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Процесс менеджмента конфигурации предназначен для обеспечения и поддержки целостности всех идентифицированных артефактов проекта или процессов. Кроме того, он позволяет заинтересованным сторонам получить к ним доступ. Как обеспечение, так и эксплуатация должны отвечать двум условиям для поддержания приемлемого уровня безопасности приложения: (1) эффективное управление конфигурацией элементов приложения для обеспечения безопасности приложения и (2) обеспечение управления конфигурацией данными об эффективности самой системы безопасности приложения.
Примечание - Дополнительные рекомендации по работе с данными методами управления конфигурацией доступны в стандартах ИСО/МЭК 27002 "Информационные технологии. Методы и средства информационной безопасности. Свод норм и правил менеджмента информационной безопасности" и ИСО 10007:2003 "Системы менеджмента качества. Руководящие указания по управлению конфигурацией" |
|
7.8 Процесс менеджмента информации |
ИСО/МЭК 15288:2008 (пункт 6.3.6); ИСО/МЭК 12207:2008 (пункт 6.3.6) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Процесс менеджмента информации необходим для обеспечения безопасности приложений, так как он предоставляет информацию об эффективности системы безопасности приложений заинтересованным сторонам и доставляет массивы данных, показывающие эффективность системы безопасности приложений заинтересованным сторонам, включая регулирующие органы или службы согласования |
|
7.9 Процесс определения требований заинтересованной стороны |
ИСО/МЭК 15288:2008 (пункт 6.4.1); ИСО/МЭК 12207:2008 (пункт 6.4.1) |
7.3.2 Определение требований и среды приложений |
Процесс определения требований заинтересованных сторон предназначен для определения требований к системе, которая будет использоваться для предоставления в определенной среде необходимых услуг пользователям и другим заинтересованным сторонам. В его ходе требования анализируются и на их базе создается общий список требований заинтересованных сторон. В отдельную подгруппу этих требований можно выделить целевой уровень доверия приложения и задокументированные свойства системы безопасности приложений, для эффективной работы которой требуется высокий уровень доверия приложения |
|
7.10 Процесс анализа требований |
ИСО/МЭК 15288:2008 (пункт 6.4.2); ИСО/МЭК 12207:2008 (пункт 6.4.2) |
7.3.3 Оценка рисков безопасности приложений |
Процесс анализа требований предназначен для того, чтобы преобразовать запросы заинтересованных сторон к желаемой услуге в техническое описание требуемого продукта, который мог бы предоставлять эти услуги с целевым уровнем доверия приложения. Анализ требований должен включать в себя оценку рисков безопасности приложений и соответствия требований безопасности приложений, связанных с функциональными границами системы, набором функций, которые должна выполнять система, ограничениями реализации, определенными требованиями заинтересованных сторон или являющимися неизбежными, методами измерения эффективности технического решения (список может быть расширен) |
|
7.11 Процесс верификации |
ИСО/МЭК 15288:2008 (пункт 6.4.6) |
7.3.6 Проведение аудита безопасности приложения |
В контексте ПМБП процесс верификации необходим для подтверждения того, что достигнут целевой уровень доверия приложения. В результате верификации должна быть получена информация, с помощью которой можно было бы выполнить корректирующие действия, позволяющие исправить несоответствия в реализованном приложении или процессах, а также учесть неточности верификации, включая надежность инструментальных средств тестирования и уровень неопределенности результатов (то есть количество ложноположительных и ложноотрицательных срабатываний). В ПМБП должны рассматриваться подтверждающие доказательства, получаемые в ходе жизненного цикла. Например, анализ уязвимостей в процессе разработки или поддержки |
|
7.12 Процесс эксплуатации |
ИСО/МЭК 15288:2008 (пункт 6.4.9); ИСО/МЭК 12207:2008 (пункт 6.4.9) |
7.3.5 Подготовка к работе и эксплуатация приложения |
Процесс эксплуатации включает обеспечение и эксплуатацию приложения с целью предоставления услуг в определенной среде и обеспечения поддержки пользователей программного продукта. При планировании этого процесса необходимо стремиться к поддержанию заданного уровня безопасности приложений на протяжении всего жизненного цикла системы, учитывать эксплуатационные ограничения и согласованность допущений в методе обеспечения безопасности приложений. Необходимо создать системы и процедуры отчетности для проекта, чтобы анализировать и устранять инциденты, связанные с безопасностью приложений |
|
7.13 Процесс сопровождения |
ИСО/МЭК 15288:2008 (пункт 6.4.10); ИСО/МЭК 12207:2008 (пункт 6.4.10) |
7.3.5 Подготовка к работе и эксплуатация приложения |
При планировании обслуживания во время обеспечения и эксплуатации приложения необходимо учитывать безопасность приложения на протяжении всего жизненного цикла системы. План сопровождения проекта должен включать оценку влияния на безопасность приложения изменений, внесенных в приложение или элементы системы во время сопровождения, а также постоянно предоставлять доказательства того, что поддерживается целевой уровень доверия приложения |