Приложение В (справочное). Пример реализации НСО: внедрение ИСО/МЭК 27034 "Безопасность приложений" и НСО в существующей организации. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27034-2-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 14.05.2021 N 350-ст)

Приложение В
(справочное)

Пример
реализации НСО: внедрение ИСО/МЭК 27034 "Безопасность приложений" и НСО в существующей организации

В.1 Общие положения

В этом примере показано, как финансовое учреждение запускает проект по внедрению ИСО/МЭК 27034 "Безопасности приложений" и создает НСО с целью повышения уровня безопасности своих приложений и управления мерами обеспечения безопасности приложений во всех проектах разработки приложений.

Организация решила внедрить ИСО/МЭК 27034, используя пошаговую методику, реализуя проект этап за этапом, в ходе каждого из которых выполняются определенные задачи. В этом примере демонстрируется только первый этап проекта.

Организация разделила проект на шесть подпроектов, как показано на рисунке В.1.

Рисунок В.1 - Внедрение НСО в организации - обзор подпроектов

В.1.1 Запуск проекта

В.1.1.1 Назначение

Назначение этого подпроекта заключается в том, чтобы:

a) определить приемлемый и управляемый объем проекта и каждого подпроекта;

b) назначить проектные команды;

c) определить структуру разрабатываемых МОБП;

d) осуществлять мониторинг подпроектов.

В.1.1.2 Общая информация о подпроекте

Графическое представление подпроекта приведено на рисунке В.2.

Рисунок В.2 - Проект внедрения НСО для обеспечения безопасности приложений, первый этап

В.1.1.3 Действующие субъекты

К действующим субъектам, участвующим в этом подпроекте, относятся:

a) высшее руководство;

b) менеджер проектов.

В.1.1.4 Исходные данные

Исходными данными для этого подпроекта является список существующих приложений, распределенных по категориям (согласно системе менеджмента информационной безопасности).

В.1.1.5 Мероприятия

Как показано на рисунке В.2, к мероприятиям этого подпроекта относятся:

a) определение масштаба проекта безопасности приложения;

b) проведение оценки рисков безопасности организации и (или) получение управленческого решения высшего руководства;

c) определение масштаба первого этапа проекта согласно пункту b);

d) определение структуры МОБП.

В.1.1.6 Результаты

Результатами этого подпроекта являются:

a) iDiv - список критических приложений;

b) Dlv 1 - общая информация о проекте, содержащая:

1) принципы;

2) цели проекта;

3) цели первого этапа;

4) включенные приложения;

5) масштаб первого этапа;

6) заинтересованные стороны, действующие субъекты, роли и обязанности;

7) службы безопасности и процессы, задействованные в первом этапе;

8) первый вариант глоссария и аббревиатур;

c) Dlv 2 - определение структуры МОБП.

В.1.2 Подпроект менеджмента рисков безопасности приложений

В.1.2.1 Назначение

Во время этого подпроекта организация планирует, реализует, обслуживает и поддерживает:

a) разработку процесса менеджмента рисков безопасности приложений, адаптированного к действующим субъектам, контекстам и спецификациям приложений;

b) выявление рисков безопасности, исходящих от использования организацией критически важных приложений;

c) определение требований безопасности, которые должны выполняться с помощью МОБП.

В.1.2.2 Действующие субъекты

Действующим субъектом этого подпроекта является группа по менеджменту рисков информационной безопасности.

В.1.2.3 Общая информация о подпроекте

Графическое представление этого подпроекта приведено на рисунке В.3.

Рисунок В.3 - Подпроект процесса менеджмента рисков безопасности приложений

В.1.2.4 Исходные данные

Исходными данными для этого подпроекта являются:

a) метод анализа рисков информационной безопасности;

b) AD 1 - используемая включенными приложениями информация;

c) AD 2 - существующая упорядоченная по категориям информационная таблица;

d) AD 3 - существующий процесс менеджмента рисков организации;

e) Dlv 1 - общая информация о проекте.

В.1.2.5 Мероприятия

Мероприятия, проводимые в рамках этого подпроекта, заключаются в том, чтобы:

a) создать (адаптировать) процесс анализа рисков информационной безопасности для приложений;

b) провести высокоуровневую инвентаризацию и категоризацию информации, используемой включенными приложениями;

c) определить/идентифицировать среды для включенных приложений;

d) выполнить высокоуровневую оценку рисков безопасности приложений;

e) определить МОБП для внедрения;

1) определить процесс выбора МОБП;

2) сопоставить требования безопасности с МОБП (риски безопасности, требования безопасности МОБП).

В.1.2.6 Результаты

Результатами этого подпроекта являются:

a) Dvl 5 - процесс анализа рисков безопасности приложений;

b) i.Dvl - категоризованные данные/информация, используемые включенными приложениями;

c) i.DIv - среда приложений;

1) бизнес-контекст (включая принципы, требования и т.д.);

2) регулятивный контекст;

3) технологический контекст;

4) спецификации приложений;

5) действующие субъекты и заинтересованные стороны (роли, обязанности и квалификация);

d) i.DIv - отчет о безопасности приложения (высокоуровневый);

e) i.DIv - список МОБП для внедрения.

В.1.3 Подпроект модели жизненного цикла приложения

В.1.3.1 Назначение

Во время этого подпроекта организация планирует, реализует, обслуживает и поддерживает:

a) приведение в соответствие методов, процессов и мероприятий, используемых в разных жизненных циклах в организации;

b) эффективное сотрудничество ответственного руководства и команд, участвующих в управлении, создании архитектуры, верификации на соответствие, разработке, эксплуатации, управлении ИТ, верификации и аудите;

c) определение этапов жизненного цикла в рамках первого этапа.

В.1.3.2 Действующие субъекты

Действующие субъекты, участвующие в этом подпроекте:

a) команда по обеспечению соответствия;

b) команда по разработке ИТ-приложений;

c) команда по управлению проектами;

d) команда по интеграции систем безопасности в проекты;

e) команда по разработке архитектуры безопасности.

В.1.3.3 Общая информация о подпроекте

Графическое представление этого подпроекта приведено на рисунке В.4.

Рисунок В.4 - Подпроект модели жизненного цикла безопасности приложений

В.1.3.4 Исходные данные

Исходными данными для этого подпроекта являются:

a) AD 1 - процессы разработки и обслуживания организации;

b) Dlv 1 - общая информация о проекте.

В.1.3.5 Мероприятия

К мероприятиям этого подпроекта относится разработка жизненного цикла безопасности приложений (ЖЦБП) для организации.

В.1.3.6 Результаты

Результатом этого подпроекта является: Dlv 3 - модель ЖЦБП.

В.1.4 Подпроект процесса менеджмента безопасности приложений

В.1.4.1 Назначение

В ходе этого подпроекта организация планирует, реализует и поддерживает разработку и обслуживание процесса менеджмента безопасности приложений, адаптированного под организацию и соответствующего требованиям ИСО/МЭК 27034.

В.1.4.2 Действующие субъекты

К действующим субъектам, участвующим в этом подпроекте, относятся:

a) команда разработчиков программных средств;

b) команда по управлению проектами;

c) команда по интеграции систем безопасности в проекты.

В.1.4.3 Общая информация о подпроекте

Графическое представление этого подпроекта приведено на рисунке В.5.

Рисунок В.5 - Подпроект процесса менеджмента безопасности приложений

В.1.4.4 Исходные данные

Исходными данными для этого подпроекта: AD 4 являются используемые в организации методы управления, разработки и обслуживания

В.1.4.5 Мероприятия

К мероприятиям этого подпроекта относится разработка процесса менеджмента безопасности приложений организации.

В.1.4.6 Результаты

Результатом этого подпроекта является: Dlv 4 - ПМБП (документация и руководство по интеграции системы безопасности приложений в проект).

В.1.5 Подпроект нормативной структуры организации

В.1.5.1 Назначение

Во время этого подпроекта организация планирует, реализует, обслуживает и поддерживает:

a) назначение членов группы НСО;

b) разработку процессов управления и обслуживания НСО;

c) консолидацию элементов безопасности приложений в надежном репозитории, доступном всем заинтересованным сторонам.

В.1.5.2 Действующие субъекты

К действующим субъектам, участвующим в этом подпроекте, относятся:

a) команда по обеспечению соответствия;

b) команда по разработке ИТ-приложений;

c) команда по управлению проектами;

d) команда по эксплуатации и поддержке ИТ-инфраструктуры;

e) управление - команда поддержки управления проектами.

В.1.5.3 Общая информация о подпроекте

Графическое представление этого подпроекта приведено на рисунке В.6.

Рисунок В.6 - Подпроект нормативной структуры организации

В.1.5.4 Исходные данные

Исходными данными для подпроекта является текущая архитектура организации.

В.1.5.5 Мероприятия

К мероприятию этого подпроекта относится начало работы группы НСО.

В.1.5.6 Результаты

Результатом этого подпроекта является: i.DIv - создание нормативной структуры для обеспечения безопасности приложений.

В.1.6 Подпроект разработки мер обеспечения безопасности приложений

В.1.6.1 Назначение

Во время этого подпроекта организация планирует, реализует, обслуживает, поддерживает и проводит аудит:

a) разработка МОБП в соответствии с требованиями безопасности приложений организации;

b) валидация, верификация, тестирование, внедрение и аудит разработанных МОБП;

c) согласование МОБП с моделью жизненного цикла безопасности приложения;

d) управление процессом разработки и поддержки МОБП;

e) разработка обучающих курсов для тех, кто будет разрабатывать и проводить валидацию МОБП;

f) разработка обучающих курсов для тех, кто будет внедрять, проверять и проводить аудит МОБП.

В.1.6.2 Действующие субъекты

К действующим субъектам, участвующим в этом подпроекте, относятся:

a) владельцы включенных приложений;

b) команда по обеспечению соответствия - команда по разработке структуры управления информационной безопасностью;

c) команда разработчиков программных средств;

d) команда по разработке ИТ-приложений.

В.1.6.3 Общая информация о подпроекте

Графическое представление этого подпроекта приведено на рисунке В.7.

Рисунок В.7 - Подпроект "Разработка мер обеспечения безопасности приложений"

В.1.6.4 Исходные данные

Исходными данными этого подпроекта являются:

a) i.DIv - список МОБП для внедрения;

b) Dlv 2 - определение структуры МОБП;

c) Dlv 3 - модель ЖЦБП.

В.1.6.5 Мероприятия

Мероприятия для этого подпроекта состоят в следующем:

a) разработать библиотеку МОБП;

b) разработать МОБП с 1, 2 по n:

1) разработать мероприятия по обеспечению безопасности МОБП;

2) разработать мероприятия по верификации МОБП;

3) сопоставить мероприятия по обеспечению безопасности и проверке с моделью ЖЦБП;

4) связать МОБП с библиотекой МОБП;

5) разработать процесс управления и обслуживания МОБП;

6) разработать руководство или программу обучения по внедрению/использованию данной МОБП в проекте.

В.1.6.6 Результаты

Результатами этого подпроекта являются:

a) МОБП;

b) библиотека МОБП;

c) Dlv 3 - модель ЖЦБП (обновленная).

В.2 Полная схема рабочего процесса проекта

Рисунок В.8 - Пример реализации НСО: внедрение системы безопасности приложений по ИСО/МЭК 27034 и НСО в организации (обзорная диаграмма)