ГОСТ Р ИСО/МЭК 27034-1—2014
b
) полной совокупности мер и средств контроля и управления безопасностью приложений в би
блиотеке недостаточно для требуемого уровня доверия, в таком случае библиотека может быть попол
нена из новой совокупности ASC;
c) из новой совокупности ASC в библиотеке создается новый уровень доверия.
Таким образом, руководствуясь имеющимся опытом, организация может повторно использовать
меры и средства контроля и управления безопасностью от имеющихся приложений или создать/приоб-
рести новые меры и средства контроля и управления, или то и другое вместе.
Библиотека ASC организации расширяется в ответ на замечания и предложения от каждого ново
го проекта приложения, как описано в 8.1.3.2.
8.1.2.6.4 Уровень доверия приложений
Уровень доверия представляет собой метку, упрощающую взаимодействие действующих субъек
тов из разных сфер с различными формами обеспечения безопасности приложений в организации. Он
определяется организацией с целью однозначной идентификации определенной совокупности мер и
средств контроля и управления безопасностью приложений.
Пример 1 — На рисунке 5 организация определила шесть уровней доверия, представленных край
ними правыми графами, пронумерованными от 0 до 5.
Пример 2 — На рисунке 5 уровень доверия 1 определяет совокупность из трех ASC, относящих
ся к онлайновым платежам, законам об обеспечении приватности и SSL-соединениям. Кроме того, на
уровне 1 также применяются ASC, относящиеся к безопасному протоколированию и беспроводной
сети (показаны стрелками с точкой).
Уровеньдоверия приложений не является результатом вычислений в отличие от концепции риска,
представляющей собой вычисленный результат анализа риска. Соответственно уровень доверия не
служит дополнением для риска.
Уровеньдоверия, скорее, сходен с концепцией плана обеспечения безопасности, представляюще
го совокупность мер и средств контроля и управления, санкционированных организацией для снижения
риска, определенного посредством анализа риска. Таким образом, для каждой организации уровень
доверия сходен с заранее определенным и многократно используемым планом обеспечения безопас
ности.
Организация должна определить собственный диапазон (или область, или шкалу) уровней до
верия, который группа ONF должна санкционировать в качестве возможных значений целевого уровня
доверия приложений. Этот диапазон может быть определен любым подходящим для организации об
разом.
Пример 3 — Организация может использовать цифровые уровни от 0 до 5. как в примере на ри
сунке 5, а может использовать область определенных значений, например [низкий, средний, высокий]
или [зеленый, желтый, красный]. Также организация может использовать критерии, основанные на
критериях принятия риска.
Организация должна определить минимально допустимый уровень доверия для каждого из своих
приложений. В ИСО/МЭК 27034 для идентификации минимально допустимого уровня доверия (в про
тивоположность максимально допустимому риску) используется название «нулевой уровень доверия».
Организация может использовать любое название для этого уровня доверия.
Организация должна осуществлять мониторинг уровня доверия, достигнутого приложениями, и
применять корректирующие меры, если уровень доверия любого из приложений в какой-то момент
падает ниже нулевого уровня доверия, особенно после развертывания приложения.
Пример 4 — На рисунке 5 группа ONF определила ASC с нулевым уровнем доверия для любого при
ложения, использующего безопасное протоколирование или беспроводную передачу. Даже если целе
вым уровнем доверия приложения, определенным путем анализа риска для этого приложения, являет ся
нулевой уровень доверия, эти ASC должны осуществляться.
8.1.2.6.5 Меры и средства контроля и управления безопасностью приложений
8.1.2.6.5.1 Общие сведения
Меры и средства контроля и управления безопасностью приложений являются главным понятием
в ИСО/МЭК 27034. Они используются для вводения мероприятий по обеспечению безопасности в жиз
ненный цикл приложений и предоставляют свидетельства, необходимые для проверки их успешного
применения.
17