ГОСТ Р ИСО/МЭК 27034-1—2014
Введение
0.1 Общая информация
Организации должны обеспечивать защиту своей информации и технологических инфраструктур,
чтобы сохранять свой бизнес. Традиционно это происходило на уровне ИТ путем защиты периметра и
таких компонентов технологических структур, как компьютеры и сети. Но этого оказывалось недоста
точно.
Кроме того, организации все больше стремятся обеспечивать свою защиту на уровне корпора
тивного управления, используя формализованные, протестированные и проверенные системы ме
неджмента информационной безопасности (СМИБ). Системный подход способствует эффективности
СМИБ. как описано в ИСО/МЭК 27001.
Однако в настоящее время организации сталкиваются с постоянно растущей потребностью за
щиты своей информации на уровне приложений.
Организациям необходимо обеспечивать защиту приложений от уязвимостей, которые могут быть
свойственны самому приложению (например, дефекты программных средств), могут появляться в те
чение жизненного цикла приложений (например, в результате изменений приложения) или возникать в
результате использования приложений в не предназначенных для них условиях.
Системный подход к усиленному обеспечению безопасности приложений обеспечивает свиде
тельства адекватной защиты информации, используемой или хранимой приложениями организации.
Приложения могут быть получены путем внутренней разработки, аутсорсинга или покупки готового
стандартного продукта. Приложения могут быть также получены путем комбинации этих подходов, что
может привести к иным последствиям в плане безопасности, требующим рассмотрения и управления.
Примерами приложений являются кадровые системы, финансовые системы, системы обработки
текстов, системы менеджмента взаимодействия с клиентами, межсетевые экраны, антивирусные си
стемы и системы обнаружения вторжений.
На протяжении своего жизненного цикла безопасное приложение проявляет необходимые харак
теристики качества программного средства, такие как предсказуемое исполнение и соответствие, а так же
выполнение требований безопасности с точки зрения разработки, менеджмента, технологической
инфраструктуры и аудита. Для создания надежных приложений, которые не увеличивают подвержен
ность риску выше допустимого или приемлемого уровня остаточного риска и поддерживают эффектив
ную СМИБ. требуются процессы и практические приемы усиленной безопасности, а также квалифици
рованные лица для их выполнения.
Кроме того, безопасное приложение учитывает требования безопасности, вытекающие из типа
данных, целевой среды (бизнес-контекст, нормативный и технологический контексты), действующих
субъектов и спецификаций1»приложений. Должна существовать возможность получения свидетельств,
доказывающих, что допустимый или приемлемый уровень остаточного риска достигнут и поддержива
ется.
0.2 Назначение
Целью ИСО/МЭК 27034 является содействие организациям в планомерной интеграции безопас
ности на протяжении жизненного цикла приложений посредством:
a) предоставления общих понятий, принципов, структур, компонентов и процессов;
b
) обеспечения процессно-ориентированных механизмов для установления требований безопас
ности. оценки рисков безопасности, присвоения целевого уровня доверия и выбора соответствующих
мер и средств контроля и управления безопасностью, а также верификационных мер:
c) предоставления рекомендаций для установления критериев приемки для организаций, осу
ществляющих аутсорсинг разработки или оперирования приложениями, и для организаций, приобре
тающих приложения у третьей стороны;
d) обеспечения процессно-ориентированных механизмов для определения, формирования и
сбора свидетельств, необходимых для демонстрации того, что их приложения безопасны для исполь
зования в определенной среде;
e) поддержки общих концепций, определенных в ИСО/МЭК 27001. и содействия соответствую
щей реализации информационной безопасности, основанной на менеджменте риска.
IV
1) Спецификация — документ, устанавливающий требования (ГОСТ ISO 9000—2011. пункт 3.7.3).