ГОСТ Р ИСО/МЭК 27034-1—2014
8) анализ, адаптация и валидация обратной связи от проектов приложений;
b
) реализация ONF: реализация ONF и информирование о ней;
c) мониторинг и проверка ONF: обеспечение уверенности в том, что проекты приложений над
лежащим образом используют компоненты ONF. и получение обратной связи от этих проектов:
1) требование наличия целевого уровня доверия и фактического уровня доверия для всех ис
пользуемых организацией приложений;
2) требование проведения периодической оценки риска для всех используемых организацией
приложений;
d) постоянное совершенствование ONF: поддержка и совершенствование всех компонентов
ONF путем периодической проверки контекста, процессов, лиц и технологии в масштабах организации,
обнаружение всех изменений с возможным влиянием на ASMP и интеграции их в ONF.
8.2 Оценка риска безопасности приложений
8.2.1 Оценка риска в сравнении с менеджментом риска
Оценка риска — это второй шаг описанного в ИСО/МЭК 27005 процесса менеджмента риска. Кро
ме того, оценка риска безопасности приложений является вторым шагомASMP. применяющего процесс
оценки риска на уровне приложений. Другие шаги менеджмента риска осуществляются посредством
других шаговASMP.
Согласно ИСО/МЭК 27005, «оценка риска определяет ценность информационных активов,
идентифицирует применяемые существующие (или могущие существовать) угрозы и уязвимости.
идвнтифицирувл
1
существующие меры и средства контроля и управления и их влияние на
идентифицированный риск, определяет потенциальные последствия и. наконец, расставляет
полученные риски в соответствии с приоритетами и ранжирует их по критериям оценивания
риска, определенным на этапе установления контекста».
Оценка риска включает три действия: идентификацию риска, анализ риска и оценивание риска.
8.2.2 Анализ риска приложений
8.2.2.1 Высокоуровневый анализ риска приложений
Существует высокоуровневый анализ риска, выполняемый на подготовительном этапе жизнен
ного цикла приложений. Такой анализ приблизительно («на глазок») определяет целевой уровень до
верия приложений в соответствии с основными спецификациями приложений, бизнес-контекстом, тех
нологическим и регулятивным контекстами приложений.
Владелец конкретного проекта приложения должен четко определить роль, в обязанности которой
входит проведение этого анализа с использованием адекватного метода анализа на уровне приложе
ний. Метод анализа риска на уровне организации может не удовлетворять этой задаче.
8.2 2.2 Детальный анализ риска приложений
Этот анализ проводится на этапе реализации жизненного цикла приложений. Он более точно
определяет связанные с конкретным приложением остаточные риски, прежде чем рассматривать какие-
либо ASC дляданного приложения, и подтверждает целевой уровень доверия приложения (определен
ный во время высокоуровневого анализа риска приложений) в соответствии с детальными специфика
циями приложения, бизнес-контекстом, технологическим и регулятивным контекстами организациидля
приложения.
В результате детального анализа риска приложений владелец приложения может изменить це
левой уровень доверия для проекта приложения. Это меняет выбранные для проекта ASC. оказывая
влияние на вовлеченных действующих субъектов и расчетную стоимость проекта. Однако это влияние
легко предсказуемо, поскольку информация, такая какдействующие субъекты, профессиональная ква
лификация и расчетная стоимость, уже является частью каждой ASC и уже была документирована в
библиотеке ASC организации.
Владелец конкретного проекта приложения должен четко определить роль, в обязанности которой
входит проведение этого анализа с использованием соответствующего метода анализа на уровне при
ложений. Метод анализа риска на уровне организации может оказаться не вполне соответствующим
для этой задачи.
8.2.3 Оцонивание риска
Согласно ИСО/МЭК 27005, «оценивание риска использует понимание риска, полученное путем
анализа риска, для принятия решений о будущих действиях. Решения должны определять:
a) следует ли предпринимать действие:
b
) приоритеты обработки риска, учитывающие оцененные уровни риска».
29