ГОСТ Р ИСО/МЭК 27034-1—2014
Пример 1 — Организация может периодически выполнять этот шаг для мониторинга степени
обеспечения безопасности на этапе реализации приложения.
Пример 2 — Организация может выполнять этот шаг для демонстрации фактического уровня
доверия приложения, прежде чем будет утверждено его развертывание.
Пример 3 — Организация может выполнять этот шаг на этапе эксплуатации жизненного цикла
приложения как часть ежегодно проводимого организацией аудита безопасности.
В рамках этого шага внутренняя или внешняя группа, занимающаяся верификацией (в зависимо
сти от политик организации, содержащихся в ONF). проверяет, чтобы все верификационные измерения,
представленные всеми ASC в ANF для конкретного приложения, были выполнены и результаты вери
фицированы. Целью данного шага является демонстрация в определенное время фактического уровня
доверия приложения. Организация может объявить приложение «безопасным», когда его фактический
уровень доверия равен его целевому уровню доверия.
Этот шаг соответствует шагу «принятие риска» в устанавливаемом ИСО/МЭК 27005 процессе
менеджмента риска.
Рисунок 14 — Общий обзор процесса верификации безопасности приложений
8.5.2 Компоненты
8.5.2.1 Фактический уровень доверия приложений
Фактический уровень доверия приложения — это максимальный уровень уверенности, демон
стрируемый группой, занимающейся верификацией, на основе верификационных измерений всех ASC
для данного приложения.
Каждая ASC. включенная в ANF для какого-либо проекта приложения, предусматривает конкрет
ные и детальные измерения, которые должны выполняться группой, занимающейся верификацией,
наряду с указателями на определенный этап жизненного цикла приложений, во время которого должно
выполняться измерение.
36