ГОСТ Р ИСО/МЭК 27034-1—2014
на качество безопасности, которое должно проявлять приложение. Все эти меры и средства контроля
и управления должны быть полностью определены и утверждены организацией.
6.4.2 Разработка требований безопасности приложений
Разработка требований приложений — это процесс, охватывающий сбор, анализ и определение
требований для приложений. Он должен быть дополнен оценкой риска с целью включения требований
безопасности.
Как и в случае любых требований, оценка риска должна включать постоянное и систематическое
использование процедур, обеспечивающих уверенность в том. что полученная совокупность требова
ний является полной, последовательной, легко понимаемой и анализируемой владельцем приложений.
Требования и их выполнение также должны быть измеримыми.
6.4.3 Система менеджмента информационной безопасности
6.4.3.1 СМИБ организации
Вся информация, которую поддерживает и обрабатывает организация, подвергается риску оши
бок. хищения, пожара, затопления и т. д., а также опасностям, связанным с используемой технологией.
Термин «информационная безопасность» основывается на информации как на активе, имеющем
при своенное значение и требующем соответствующей защиты. Согласно ИСО/МЭК 27000, СМИБ
пред ставляет модель для создания, внедрения, функционирования, мониторинга, анализа,
поддержки и улучшения защиты информационных активов организации на основе подхода к рискам
бизнеса. За щита информационных активов организации должна быть ориентирована на связанные с
ними риски и принятые бизнесом уровни риска.
Этот менеджмент рисков основывается на информационной безопасности и охватывает все виды
рисков, связанных со всеми видами информации, используемой организацией.
6.4.3.2 Безопасность приложений в контексте СМИБ
Безопасность приложений поддерживает цели СМИБ в масштабах организации, обеспечивая мо
дель создания, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования
защиты информационных активов организации, связанных с приложениями. Безопасность приложений
должна обеспечивать адекватные меры и средства контроля и управления, а также свидетельства,
подтверждающие руководителям организации осуществление адекватного менеджмента рисков, свя
занных с использованием приложений.
СМИБ обуславливает безопасность приложений, обеспечивая уверенность в осуществлении ме
неджмента всех рисков, связанных с информацией организации, включая информацию, которая до
ступна приложениям. Меры и средства контроля и управления, назначаемые СМИБ. распространяются
на уровень приложений.
6.5 Риск
6.5.1 Риск безопасности приложений
Риск безопасности приложений — это риск, которому подвергаются организации при использова
нии конкретного приложения.
Риск безопасности приложений возникает при наличии:
a) угроз, направленных на информацию, которая доступна приложениям:
b
) уязвимостей;
c) влияния успешного использования уязвимостей угрозами.
Деятельность по идентификации, отслеживанию, хранению информации, измерению и сообще
нию о рисках приложений крайне важна. Требования безопасности приложений и предназначенные
для них меры и средства контроля и управления являются реакцией на этот риск. Процесс оценки
ри ска безопасности приложений является необходимым, потому что риск меняется с течением
времени, приводя к необходимости постоянной и последовательной идентификации и хранения
информации о риске.
6.5.2 Уязвимости приложений
Уязвимости являются результатом наличия неадекватных мер и средств контроля и управления
или их отсутствия. Неадекватно контролируемые уязвимости в результате приводят к неприемлемому
риску приложений.
Уязвимости проистекают от:
а)действующих субъектов, таких как программисты, создающие плохио программы, пользова
тели, делающие ошибки при использовании программного обеспечения, технические специалисты и
разработчики, делающие ошибки в процессе поддержки приложения;
8