ГОСТ Р ИСО/МЭК 27034-1-2014; Страница 49

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности (Настоящий стандарт в дополнении к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности. Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов системы менеджмента информационной безопасности или осуществлении менеджмента программы аудита системы менеджмента информационной безопасности) ГОСТ Р 52238-2004 Перчатки хирургические из каучукового латекса стерильные одноразовые. Спецификация Single-use sterile rubber surgical gloves. Specification (Настоящий стандарт устанавливает эксплуатационные характеристики упакованных стерильных хирургических одноразовых перчаток из каучукового латекса, предназначенных для защиты пациента и медицинского работника от взаимного заражения во время проведения хирургических операций. Настоящий стандарт распространяется на перчатки с гладкими поверхностями, а также на перчатки с текстурным рисунком, нанесенным по всей поверхности перчатки или ее части. Стандарт не распространяется на перчатки, используемые при проведении исследовательских работ или терапевтических процедур. Надежность и правильное применение хирургических перчаток, стерилизация с последующим транспортированием и хранением не входят в область применения данного стандарта) ГОСТ 32886-2014 Пищевые продукты переработки яиц сельскохозяйственной птицы. Определение содержания холестерина газохроматографическим методом (Настоящий стандарт распространяется на жидкие и сухие яичные продукты, включая ферментированные (яичный желток, яичный меланж), а также на сухой яичный желток с добавками соли и/или гидроколлоидов, и устанавливает метод определения содержания общего холестерина. Результат измерений содержания холестерина выражают в виде массовой доли, %, в пересчете на сухое вещество, или в виде массовой доли, %, условного сухого чистого желтка в пробе в пересчете на сухое вещество)

Страница 49

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27034-1—2014

и управления безопасностью приложения, которые будут использоваться для отслеживания продвижения к целям

обеспечения безопасности и приватности".

Учитывая широкий спектр сценариев и платформ разработки, обязательное строгое соблюдение фиксиро

ванной совокупности методик разработки или инструментальных средств невыполнимо. Поэтому группам бизнеса

разрешено обращаться по техническим проблемам, не охваченным напрямую политикой SDL (например, компиля

торы и инструментальные средства на различных платформах), к специалистам по конкретным вопросам безопас

ности для консультации (см. А.8).

А.5 Регулятивный контекст

8.1.2.2 Регулятивный контекст перечисляет и документирует любые законы или предписания в каждом ме

сте ведения бизнеса организацией, которые могут влиять на проекты приложений. Он включает законы, пра

вила и предписания стран или юрисдикций, где разрабатывается, и/ипи развертывается, и/или используется

приложение.

Организации, развертывающей и/или использующей одно и то же приложение в разных странах, возможно,

придется соответствовать требованиям безопасности каждой страны.

Проверка соответствия регулятивным требованиям и геополитический анализ охватывают существую

щие бизнес-процессы и упреждающим образом используются для информирования групп проекта. Бизнес-

подразделениями и отделом правовых и корпоративных вопросов анализируются политики для обеспечения

уверенности в том. что все аспекты создания и выпуска программных средств соответствуют любым известным

правовым или регулятивным критериям, существующим в различных регионах мира, и что любые новые проекты

действуют в рамках фаниц существующих мандатов политики.

Ряд приложений (в сочетании с упомянутыми выше проверками) используется группами, отвечающими за

продукт, для автоматизации процесса обеспечения соответствия регулятивным требованиям для прижладного про

граммного средства, разработанного для публичного выпуска.

Наконец, результаты регулятивных и геополитических проверок находятся в архивах вместе с результа

тами процесса верификации безопасности приложений (который обсуждается ниже) для создания объективно

го и всестороннего представления процесса разработки безопасных приложений. Однако важно отметить, что

регулятивные и геополитические политики не предназначены для жизненного цикла разработки

безопасного программного средства.

А.6 Репозиторий спецификаций приложений

8.1.2.3 Репозиторий спецификаций приложений перечисляет и документирует общие функциональные

требования ИТ организации и соответствующие, заранее утвержденные решения. Спецификации приложений

должны включать:

a) спецификации о том. каким образом приложения будут вычислять, хранить и передавать информацию:

) обычные параметры приложений, функциональные возможности, услуги и требования:

c) исходный код. двоичный код. библиотеки и продукты или услуги, которые используются приложениями

или на которых основаны приложения.

Дополнительные спецификации могут включать подробное описание взаимодействия приложений с:

a) другими системами;

) рабочей инфраструктурой, от которой они зависят;

c) перечнем мер и средств контроля и управления безопасностью приложений в рабочей среде.

Спецификации создаются и хранятся отдельными бизнес-подразделениями и обычно состоят из функцио

нальных указаний (описывающих, какопределенный компонентдолжен вычислять, хранитьи передавать информа

цию) и технических указаний (определяющих языки программирования, компиляторы, библиотеки и т. д.). В некото

рых случаях SDL устанавливает политику для компонентов илидругих технологий, имеющих контекст безопасности

(например, библиотеки криптографических сервисов), с целью обеспечения уверенности в том. что приватность и

безопасность приложений не компрометируются функциональными требованиями или возможностями.

А.7 Технологический контекст

8.1.2.4 Технологический контекст содержит инвентарную опись всех продуктов ИТ. услуг и технологий, до

ступных для проектов приложений организации. Эти продукты, услуги и технологии обуславливают угрозы, ко

торым подвергаются приложения.

Технологический контекст включает компьютеры, инструментальные средства, продукты и услуги ИТ. ком

муникационную инфраструктуру и другие технические устройства.

Пример — Технологический контекст, который может оказывать влияние на безопасность при

ложений, включает инфраструктуру клиент-сервер, веб-инфраструктуру, сетевую инфраструкту

ру, среду разработки и инструментальные средства разработки.