Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27034-3-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 14 мая 2021 г. N 351-ст)
- Приложение А (справочное). Рекомендации для этапа процесса менеджмента безопасности приложения: реализация и эксплуатация приложения
Приложение А (справочное). Рекомендации для этапа процесса менеджмента безопасности приложения: реализация и эксплуатация приложения
Приложение А
(справочное)
Рекомендации
для этапа процесса менеджмента безопасности приложения: реализация и эксплуатация приложения
А.1 Рекомендации
А.1.1 Общие положения
Данный этап для группы исполнения и группы верификации упрощается, поскольку они получают в НСП только те МОБП, которые необходимы для достижения целевого уровня доверия в рамках конкретного проекта; при этом каждая МОБП содержит подробную информацию для выполнения действий по обеспечению безопасности, а также связанное с ними верификационное измерение на определенной стадии жизненного цикла. Группы не обязательно должны быть информированы о процессах, которые ведут к созданию НСП.
Группа исполнения проекта приложения реализует или выполняет все конкретные действия по обеспечению безопасности, описанные в части "Действия по обеспечению безопасности" (как приведено в 8.1.2.6.5.3 ИСО/МЭК 27034-1:2011) в каждой МОБП, содержащейся в НСП для приложения.
Для менеджеров проектов НСП является эффективным инструментом, поскольку в НСП подробно изложены задачи, ресурсы, требования к квалификации, трудоемкость выполнения одной задачи в человеко-днях и точное указание на этапе жизненного цикла, на котором должна выполняться каждая задача.
Группа по верификации также сможет оценить эффективность НСП, поскольку в ней содержится детальная информация о верификационных измерениях, которые необходимы для получения свидетельства о том, что мероприятия по обеспечению безопасности выполнены правильно и ожидаемые результаты достигнуты. Таким образом, с помощью формальной регистрации свидетельств группа по верификации может до доставки приложения гарантировать, что оно соответствует требованиям безопасности.
Группа по безопасности и техническая группа также найдут концепцию МОБП полезной, потому что МОБП в НСП для конкретного приложения предоставляют список всех требований безопасности, что позволяет заранее планировать необходимые профессиональные ресурсы.
А.1.2 Статический анализ
Проектные группы должны выполнять статический анализ исходного кода. Статический анализ исходного кода обеспечивает масштабируемую возможность проверки безопасности кода и помогает обеспечить соблюдение политик безопасного кодирования. Группа по безопасности и группа верификации несут ответственность за окончательное завершение работы над НСП с привлечением группы верификации. В эту группу также могут входить услуги малого и среднего бизнеса (МСБ) и услуги консалтингового типа во время запуска МОБП, которые должны знать о сильных и слабых сторонах инструментальных средств статического анализа и быть готовы к дополнению этих инструментальных средств другими инструментальными средствами или анализом, выполняемым человеком, в зависимости от ситуации.
А.1.3 Динамический анализ программы
Верификация программы во время ее выполнения необходима для того, чтобы гарантировать, что программное обеспечение функционирует согласно плану. В рамках процесса верификации должны быть определены инструментальные средства для мониторинга поведения приложения при повреждении памяти, проблемах с привилегиями пользователей и других важных случаях, связанных с безопасностью. В ходе процесса динамического анализа программы используются инструментальные средства анализа наряду с другими методами такими, как фаззинг тестирование, применяемое для достижения необходимых уровней покрытия тестами безопасности.
А.1.4 Фаззинг тестирование
Фаззинг тестирование - это специализированная форма динамического анализа, используемая, чтобы вызвать сбой в программе путем преднамеренного ввода в приложение искаженных или случайных данных. Стратегия фаззинг тестирования определяется исходя из предполагаемого характера использования приложения, а также его технических и функциональных спецификаций.
Группе верификации могут потребоваться дополнительные фаззинг тесты или увеличение объема и продолжительности фаззинг тестирования.
А.1.5 Процесс исключения
Если проектная группа приходит к выводу, что некоторые требования безопасности, изложенные в МОБП, не могут быть реализованы, она должна подать запрос об исключении в группу верификации. Группа верификации рассматривает запрос на исключение, и, если общий риск безопасности при невыполнении требований безопасности является приемлемым, исключение может быть согласовано.
А.1.5.1 Процесс исключения
Организация должна определить и внедрить процесс для обработки случаев, когда МОБП не применимы или не реализуемы для конкретного приложения. Исключения должны быть зарегистрированы в НСП и подтверждены группой верификации. Исключения, требующие принятия остаточного риска, должны быть подписаны владельцем приложения и должны периодически пересматриваться, чтобы определить, можно ли уменьшить остаточный риск, и (или) понять, что остаточный риск остается приемлемым.
А.1.5.2 Процесс управления изменениями
НСП существует в течение жизненного цикла приложения и может со временем меняться. Например, регулятивный контекст приложения может измениться в ходе реализации проекта, что, в свою очередь, может привести к появлению нового целевого уровня доверия приложения. В этих случаях организация может добавить новые элементы к НСП или удалить старые. Изменения НСП влияют на безопасность приложения. Владелец приложения должен подтвердить изменения, которые постоянно отслеживаются.
В течение жизненного цикла приложения и до проектирования каких-либо изменений следует провести анализ МОБП, чтобы убедиться, что целевой уровень доверия приложения находится на максимально требуемом уровне (согласно МОБП).
Пример - Внутреннее приложение с конфиденциальными данными может быть спроектировано и реализовано так, что средства управления паролями будут соответствовать МОБП для внутренних приложений, аналогично, когда приложение становится общедоступным, может потребоваться расширенный набор МОБП (например, использование https для веб-приложений как обязательное требование).
А.1.5.3 Процесс обратной связи
Организация должна определить и внедрить процесс постоянного улучшения НСО посредством обратной связи с новыми знаниями, предложениями по улучшению МОБП и опытом, полученным в ходе разработки и развертывания приложения. Процесс обратной связи должен быть связан с процессом менеджмента НСО. Этот процесс обозначен на рисунке 1 как "Обеспечивает обратную связь для". Этот процесс должен быть связан с процессом сопровождения НСО, обозначенным на рисунке ИСО/МЭК 27034-1:2011 (рисунок 9) как "Обратная связь с предыдущими и текущими проектами приложений".
Ниже приведены примеры обратной связи с НСО.
Примеры
1 Анализ масштаба угроз приложения может быть улучшен путем использования более новых и инновационных инструментальных средств.
2 Новые меры обеспечения безопасности могут быть добавлены к МОБП с целью снижения вероятности атак на определенные функции.