ГОСТ Р ИСО/МЭК 27034-1—2014
ИСО/МЭК 27005:2011 Информационная технология. Методы и средства обеспечения безопасно
сти. Менеджмент риска информационной безопасности (ISO/IEC 27005:2011, Information technology —
Security techniques — Information security risk management)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 27001,
ИСО/МЭК 27002, ИСО/МЭК 27005. а также следующие термины с соответствующими определениями.
3.1 действующий субъект (actor): Лицо или процесс, осуществляющий деятельность во вре
мя жизненного цикла приложения или инициирующий взаимодействие с любым процессом, который
обеспечивает или затрагивает приложение.
3.2 фактический уровень доверия (actual level of trust): Результат процесса аудита, обеспечи
вающий свидетельства, подтверадающие, что меры и средства контроля и управления безопасностью
приложений, требуемые целевым уровнем доверия приложения, надлежащим образом реализованы,
проверены и дают ожидаемые результаты.
3.3 приложение (application): Решение в области ИТ, включающее прикладное программное
средство, прикладные данные и процедуры, предназначенные для содействия пользователям органи
зации в осуществлении определенных задач или обработке конкретных видов задач ИТ посредством
автоматизации процесса или функции бизнеса.
П р и м е ч а н и е — Процессы бизнеса включают как людей, так и технологии.
3.4 эталонная модель жизненного цикла безопасности приложений (application security life
cycle reference model): Модель жизненного цикла, используемая в качестве эталонадля введения меро
приятий по обеспечению безопасности в процессы, связанные с менеджментом приложений, подготов
кой к работе и эксплуатацией приложений, менеджментом инфраструктуры и аудитом приложений.
3.5 нормативная структура приложений; ANF (application normative framework — ANF): Сово
купность нормативных элементов, выбранных из нормативной структуры организации и значимых для
конкретного проекта приложения.
3.6 владелец приложения (application owner): Организационная роль, отвечающая за менед
жмент, использование и обеспечение защиты приложения и его данных.
П р и м е ч а н и я
1 Владелец приложения принимает все решения, касающиеся безопасности приложения.
2 Используемый в настоящем стандарте термин «владелец» является синонимом термина «владелец
приложения».
3.7 проект приложения (application project): Попытка действий с определенными критериями на
чала и завершения, направленных на создание приложения в соответствии с заданными ресурсами и
требованиями.
[ИСО/МЭК 12207:2008, определение 4.29. модифицированное специально для сферы действия
приложений]
П р и м е ч а н и е — Для целей ИСО/МЭК 27034 критерии начала и завершения таковы, что весь жизнен
ный цикл приложения включен в проект приложения.
3.8 мера и средство контроля и управления безопасностью приложения; ASC (application
security control — ASC): Структура данных, содержащая четкое перечисление и описание видов дея
тельности по обеспечению безопасности и их соответствующего верификационного измерения, под
лежащего выполнению в конкретный момент жизненного цикла приложения.
3.9 процесс менеджмента безопасности приложений; ASMP (application security management
process — ASMP): Используемый организацией общий процесс менеджмента в отношении видов дея
тельности по обеспечению безопасности, действующих субъектов, артефактов и аудита каждого при
ложения.
3.10 прикладное программное средство (application software): Программное средство, предна
значенное для содействия пользователям в осуществлении определенных задач или обработке кон
кретных видов задач, в отличие от программного средства, управляющего компьютером.
[ИСО/МЭК/ИИЭР 24765:2010. определение 3.130-1]
2