ГОСТ Р ИСО/МЭК 27034-1—2014
b
) подготовка к работе и эксплуатация приложений: этот уровень составляют мероприятия, свя
занные с подготовкой к работе и использованием самого приложения. Такие мероприятия обычно осу
ществляются в рамках процессов, рекомендуемых ИСО/МЭК 15026. ИСО/МЭК 15288. ИСО/МЭК 12207 и
ИСО/МЭК 21827;
c) менеджмент инфраструктуры: этот уровень составляют мероприятия, связанные с менеджмен
том поддерживающей приложение инфраструктуры услуг ИТ организации. Такие мероприятия обычно
осуществляются в рамках процессов, рекомендуемых такими стандартами, как ИСО/МЭК ТО 20000-4,
и руководствами, такими как ITIL1),
d) аудит приложений: этот уровень составляют мероприятия, связанные с контролем и верифи
кацией. Такие мероприятия обычно осуществляются в рамках процессов, рекомендуемых такими стан
дартами. как ИСО/МЭК 15288, ИСО/МЭК 12207. и документами по отраслевой практике, такими как
стандарт СоЫТ.
Действующими субъектами являются все лица, участвующие на всех этапах всех уровней мо
дели, такие как руководители проектов, разработчики, системные администраторы, администраторы
баз данных, руководители пользователей, владельцы приложений, аудиторы, конечные пользователи,
технический персонал, обеспечивающий поддержку, сетевые администраторы и т. д.
Мероприятия, обычно осуществляемые на этапах эталонной модели жизненного цикла безопас
ности приложений, представленной на рисунке 8. описываются ниже.
8.1.2.7.2 Менеджмент подготовки приложений к работе
Мероприятия по менеджменту подготовки приложений к работе осуществляются руководителями
проектов и руководителями организации на этапе подготовки к работе жизненного цикла приложений.
Такие мероприятия обычно осуществляются как часть процессов в масштабах организации. Они
включают процессы проектирования программных средств из определяемой ИСО/МЭК 12207 группы
процессов, связанных с проектами, такие как процесс управления трудовыми ресурсами, процесс пла
нирования проекта, процесс оценки и контроля проекта и процесс управления принятием решений.
8.1.2.7.3 Менеджмент эксплуатации приложений
Мероприятия по менеджменту эксплуатации приложений связаны с менеджментом и использова
нием приложений на этапе эксплуатации.
Такие мероприятия обычно осуществляются как часть процессов в масштабах организации. Они
включают процессы проектирования программныхсредств из ИСО/МЭК 12207. такие как процессуправ
ления информацией и процесс принятия решений.
Обычно за приложение отвечает его владелец, который может принять решение о разделении
части этой ответственности с другими действующими субъектами, такими как руководители пользова
телей.
Изменения приложений на этапе эксплуатации, например, изменения, проистекающие из новых
регулятивных требований или угроз, должны инициироваться владельцем приложений, отвечающим за
обеспечение уверенности в том, что приложения надлежащим образом и постоянно учитывают меняю
щиеся потребности безопасности организации.
Благодаря этим процессам владелец приложений предоставит для СМИБ организации необхо
димые свидетельства, обеспечивающие уверенность в решении вопросов корпоративного управления
проектами приложений.
8.1.2.7.4 Подготовка
На этапе подготовки группа, занимающаяся подготовкой к работе, осуществляет подготовитель
ные мероприятия. Такие мероприятия обычно осуществляются как часть процессов в масштабах ор
ганизации. Они включают такие процессы проектирования программных средств, как процесс менед
жмента решений и процесс менеджмента информации (см. ИСО/МЭК 12207, 6.3.3 и 6.3.6).
8.1.2.7.5 Подготовительные процессы
Подготовительные процессы включают мероприятия, осуществляемые на этапе подготовки про
екта приложения.
П р и м е ч а н и е— Подготовительные процессы включают процессы проектирования программных
средств из ИСО/МЭК 12207. такие как процесс определения требований причастных сторон, анализ требований
системы и менеджмент риска (см. ИСО/МЭК 12207. 6.4.1).
1* ГТИ (Information Technology Infrastructure Library) — библиотека передового опыта в области информаци
онных технологий.
23