Приложение А (справочное). Рекомендации для этапа процесса менеджмента безопасности приложения: реализация и эксплуатация приложения. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27034-3-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 14.05.2021 N 351-ст)

Приложение А
(справочное)

Рекомендации
для этапа процесса менеджмента безопасности приложения: реализация и эксплуатация приложения

А.1 Рекомендации

А.1.1 Общие положения

Данный этап для группы исполнения и группы верификации упрощается, поскольку они получают в НСП только те МОБП, которые необходимы для достижения целевого уровня доверия в рамках конкретного проекта; при этом каждая МОБП содержит подробную информацию для выполнения действий по обеспечению безопасности, а также связанное с ними верификационное измерение на определенной стадии жизненного цикла. Группы не обязательно должны быть информированы о процессах, которые ведут к созданию НСП.

Группа исполнения проекта приложения реализует или выполняет все конкретные действия по обеспечению безопасности, описанные в части "Действия по обеспечению безопасности" (как приведено в 8.1.2.6.5.3 ИСО/МЭК 27034-1:2011) в каждой МОБП, содержащейся в НСП для приложения.

Для менеджеров проектов НСП является эффективным инструментом, поскольку в НСП подробно изложены задачи, ресурсы, требования к квалификации, трудоемкость выполнения одной задачи в человеко-днях и точное указание на этапе жизненного цикла, на котором должна выполняться каждая задача.

Группа по верификации также сможет оценить эффективность НСП, поскольку в ней содержится детальная информация о верификационных измерениях, которые необходимы для получения свидетельства о том, что мероприятия по обеспечению безопасности выполнены правильно и ожидаемые результаты достигнуты. Таким образом, с помощью формальной регистрации свидетельств группа по верификации может до доставки приложения гарантировать, что оно соответствует требованиям безопасности.

Группа по безопасности и техническая группа также найдут концепцию МОБП полезной, потому что МОБП в НСП для конкретного приложения предоставляют список всех требований безопасности, что позволяет заранее планировать необходимые профессиональные ресурсы.

А.1.2 Статический анализ

Проектные группы должны выполнять статический анализ исходного кода. Статический анализ исходного кода обеспечивает масштабируемую возможность проверки безопасности кода и помогает обеспечить соблюдение политик безопасного кодирования. Группа по безопасности и группа верификации несут ответственность за окончательное завершение работы над НСП с привлечением группы верификации. В эту группу также могут входить услуги малого и среднего бизнеса (МСБ) и услуги консалтингового типа во время запуска МОБП, которые должны знать о сильных и слабых сторонах инструментальных средств статического анализа и быть готовы к дополнению этих инструментальных средств другими инструментальными средствами или анализом, выполняемым человеком, в зависимости от ситуации.

А.1.3 Динамический анализ программы

Верификация программы во время ее выполнения необходима для того, чтобы гарантировать, что программное обеспечение функционирует согласно плану. В рамках процесса верификации должны быть определены инструментальные средства для мониторинга поведения приложения при повреждении памяти, проблемах с привилегиями пользователей и других важных случаях, связанных с безопасностью. В ходе процесса динамического анализа программы используются инструментальные средства анализа наряду с другими методами такими, как фаззинг тестирование, применяемое для достижения необходимых уровней покрытия тестами безопасности.

А.1.4 Фаззинг тестирование

Фаззинг тестирование - это специализированная форма динамического анализа, используемая, чтобы вызвать сбой в программе путем преднамеренного ввода в приложение искаженных или случайных данных. Стратегия фаззинг тестирования определяется исходя из предполагаемого характера использования приложения, а также его технических и функциональных спецификаций.

Группе верификации могут потребоваться дополнительные фаззинг тесты или увеличение объема и продолжительности фаззинг тестирования.

А.1.5 Процесс исключения

Если проектная группа приходит к выводу, что некоторые требования безопасности, изложенные в МОБП, не могут быть реализованы, она должна подать запрос об исключении в группу верификации. Группа верификации рассматривает запрос на исключение, и, если общий риск безопасности при невыполнении требований безопасности является приемлемым, исключение может быть согласовано.

А.1.5.1 Процесс исключения

Организация должна определить и внедрить процесс для обработки случаев, когда МОБП не применимы или не реализуемы для конкретного приложения. Исключения должны быть зарегистрированы в НСП и подтверждены группой верификации. Исключения, требующие принятия остаточного риска, должны быть подписаны владельцем приложения и должны периодически пересматриваться, чтобы определить,