ГОСТ Р ИСО/МЭК 27034-1-2014; Страница 47

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности (Настоящий стандарт в дополнении к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности. Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов системы менеджмента информационной безопасности или осуществлении менеджмента программы аудита системы менеджмента информационной безопасности) ГОСТ Р 52238-2004 Перчатки хирургические из каучукового латекса стерильные одноразовые. Спецификация Single-use sterile rubber surgical gloves. Specification (Настоящий стандарт устанавливает эксплуатационные характеристики упакованных стерильных хирургических одноразовых перчаток из каучукового латекса, предназначенных для защиты пациента и медицинского работника от взаимного заражения во время проведения хирургических операций. Настоящий стандарт распространяется на перчатки с гладкими поверхностями, а также на перчатки с текстурным рисунком, нанесенным по всей поверхности перчатки или ее части. Стандарт не распространяется на перчатки, используемые при проведении исследовательских работ или терапевтических процедур. Надежность и правильное применение хирургических перчаток, стерилизация с последующим транспортированием и хранением не входят в область применения данного стандарта) ГОСТ 32886-2014 Пищевые продукты переработки яиц сельскохозяйственной птицы. Определение содержания холестерина газохроматографическим методом (Настоящий стандарт распространяется на жидкие и сухие яичные продукты, включая ферментированные (яичный желток, яичный меланж), а также на сухой яичный желток с добавками соли и/или гидроколлоидов, и устанавливает метод определения содержания общего холестерина. Результат измерений содержания холестерина выражают в виде массовой доли, %, в пересчете на сухое вещество, или в виде массовой доли, %, условного сухого чистого желтка в пробе в пересчете на сухое вещество)

Страница 47

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27034-1—2014

Приложение А

(справочное)

Пример сопоставления существующего процесса разработки с ИСО/МЭК 27034

А.1 Общая информация

Цель данного приложения — проиллюстрировать на примере, как фактически существующий сосредоточен

ный на безопасности процесс разработки программных средств (SDL) можно с успехом сопоставить с некоторыми

компонентами и процессами ИСО/МЭК 27034.

Если специально не отмечено иное, то данный конкретный пример предполагает, что все обсуждаемые ме

роприятия и результаты деятельности соответствуют ИСО/МЭК 27034.

В данном приложении в поддержку ИСО/МЭК 27034 приведены:

a) краткий обзор жизненного цикла разработки безопасного программного обеспечения;

) сопоставление практических приемов обеспечения безопасного программного обеспечения с норматив

ной структурой организации. В частности, в данном приложении:

1) обьясняются взаимосвязи между бизнес-контекстом, технологическим и регулятивным контекстами:

2) обсуждаются процессы создания и поддержки спецификаций приложений:

3) в общих чертах описываются роли и обязанности различных лиц. вовлеченных в процесс разработки

приложения;

4) приводятся существующие меры и средства контроля и управления безопасностью приложений

(ASC):

5) обсуждается процесс верификации безопасности приложений;

6) дается наглядная иллюстрация эталонной модели жизненного цикла безопасности приложений;

7) даются примеры дополнительных мероприятий, выполнение которых может потребоваться организа

ции. использующей SDL, для соответствия ИСО/МЭК 27034.

Для удобства рассмотрения описания мер и средств контроля и управления безопасностью приложений,

приведенных в настоящем стандарте, помещены в текстовых окнах в приведенных ниже подразделах, за каждым из

них следует пример применения.

Где возможно, приводятся ссылки на общедоступные источники информации: в настоящем стандарте мож

но найти веб-ссылки на конкретное обсуждение процессов, инструментальных средств и иную дополнительную

информацию.

Важно отметить, что создатели данного приложения решили сосредоточиться исключительно на методике

разработки безопасных программных средств, используемой для поставки коммерческого прикладного

программного средства и онлайновых услуг. Существуют другие процессы, охватывающие задачи безопасности ИТ.

Группы, администрирующие эти процессы, связаны аналогичным технологическим и регулятивным контекста ми. но

не создают прикладное программное средство, предназначенное для широкого общественного использо вания.

Хотя иллюстрация методик разработки безопасных программных средств и ИТ может показаться интерес ной для

некоторых читателей, она не обязательно предоставит более убедительные свидетельства практичности ИСО/МЭК

27034.

Использование жизненного цикла разработки безопасного программного средства (Security Development Life-

cycle — SDL) в этом поясняющем контексте не означает одобрение SDL Международной организацией по стандар

тизации (ИСО).

А.2 О жизненном цикле разработки безопасного программного средства

Жизненный цикл разработки безопасного программного средства (SDL) — это процесс обеспечения доверия

к безопасности программных средств. Используемый в качестве инициативы в масштабе компаний и обязательной

политики с 2004 года. SDL сыграл важную роль во встраивании обеспечения безопасности и приватности в про

граммные средства и культуру принимающей его компании. Сочетая целостный и практичный подход. SDL вводит

безопасность и приватность во все этапы процесса разработки. Ссылки на частные технологии и ресурсы

вданном приложении опущены.

Как показано на рисунке А.1. жизненный цикл разработки безопасного программного средства состоит из

семи этапов.

Обучение

^Требования ^Проектировав^ РеализацияУ

в - , »

^Реагирование

- Базовое

обучение

-Определение

границкачества

порогаошибок

- Аманерисед

безопасности

иприватности

-Анализвидов

атак

Моавгцроелипв

ТО»

)n B M W

-Споирфикаштя

- Дтизмичеоххз

инструментал*.*тестирование’

мькдодет»

случайное

тестирование

запрещенные- Пересмотр

фунчзнймоделей утрсс

- Стзтзмвсиалвидоввта»

анапил

-План ., .

реагирования

- Окоичвтвпьмвя

(Довер**

безопасности

-А рий

выпуска

- Осутедст»ленм

реагирования

Рисунок А.1 — Жизненный цикл разработки безопасного программного средства