ГОСТ Р ИСО/МЭК 27034-1—2014
Технологический контекст часто различается среди бизнес-подразделений, он выводится из комбинации
движущих рыночных факторов, сценариев возможности взаимодействия и совместимости и технических стандар
тов для конкретной группы. В связи с разнообразием используемых среди бизнес-подразделений стандартов для
продуктов ИТ. услуг и технологий, технологический контекст каждым бизнес-подразделением устанавливается не
зависимо. чтобы он мог отвечать их потребностям. Однако бизнес-подразделения должны также обеспечивать
уверенность в том. что связанные с программными средствами проекты используют услуги ИТ и технологии, по
зволяющие им удовлетворять критериям безопасности и приватности, устанавливаемым бизнес-контекстом и ре
гулятивным контекстом.
А.8 Роли, обязанности и квалификация
8.1.2.5 ONF должна содержать:
a) перечни и описания всех ролей, обязанностей и необходимой профессиональной квалификации всех
действующих субъектов, участвующих в создании и поддержке ONF. и’или ролей по созданию и поддержке
ASC:
b
) перечни и описания всех ролей, обязанностей и необходимой профессиональной квалификации всех
действующих субьектов. вовлеченных в жизненный цикл приложений, таких как ответственные за информаци
онную безопасность, руководители проектов, администраторы, лица, занимающиеся приобретением программ
ных средств, руководители разработки программных средств, владельцы приложений, руководители поль
зователей. разработчики архитектуры, аналитики, программисты, специалисты по тестированию, системные
администраторы, администраторы баз данных, сетевые администраторы и технический персонал.
Политика в масштабах организации будет способствовать обеспечению уверенности в том. что все крити
ческие роли для всех процессов распределены, все обязанности определены, конфликты интересов предотвра
щены. а назначенные на роли лица обладают достаточной профессиональной квалификацией.
Категории (разряд) работы персонала создаются и поддерживаются кадровой службой, получающей входную
информацию от бизнес-подразделений. Эти категории включают высокоуровневое описание задач и компетентно
сти. характерных для каждой рабочей роли. В то время как кадровая служба поддерживает общие должностные
инструкции, бизнес-подразделения обычно отвечают за принятие решений о том. как конкретно определить ка
тегории работы в отношении компетентности в сфере обеспечения безопасности и приватности и использовать
эти критерии для содействия делегированию обязанностей по надзору за обеспечением безопасности в рамках
группы, занимающейся разработкой.
В SDL есть общие критерии и должностные инструкции для ролей по обеспечению безопасности и приватно
сти; эти роли назначаются на этапе «Требования» процесса SDL.’* Это специальные рабочие роли, которые долж
ны быть определены до начала этапа разработки. Эти роли являются консультационными по своему характеру и
обеспечивают основу, необходимую для идентификации, классификации и уменьшения проблем безопасности и
приватности, имеющихся в проекте разработки программных средств. Эти роли включают:
Надзорные роли: Данные роли предназначены для обеспечения надзора за проектом и могут включать как
количественные, так и качественные рекомендации группе проекта в отношении минимально допустимых порогов
доверия к безопасности и приватности для проекта, связанного с программными средствами. Надзорные роли
должны быть также наделены полномочиями принятия или отклонения планов обеспечения безопасности и при
ватности. поступающих от группы проекта.
a) Куратор по обеспечению безопасности: На данную роль назначают специалиста по отдельным вопро
сам безопасности, являющегося внешним для группы проекта. Эту роль может выполнять квалифицированный
представитель независимой централизованной группы обеспечения безопасности в рамках организации или мож
но обращаться к услугам внешнего специалиста. Лицо, выбранное для решения этой задачи, должно выполнять
две функции:
i) аудитора, т. е. осуществлять мониторинг безопасности каждого этапа процесса разработки и подтверж
дать успешное выполнение требований каждого этапа, а также обладать свободой в вопросе подтверж
дения соответствия (или несоответствия) требованиям безопасности без вмешательства со стороны
группы проекта:
ii) эксперта, т. е. обладать поддающейся проверке компетентностью в вопросах безопасности;
b
) Куратор по обеспечению приватности: На данную роль назначают специалиста по отдельным вопро
сам приватности, являющегося внешним по отношению к фуппе проекта. Эту роль может выполнять квалифици
рованный представитель независимой централизованной группы обеспечения приватности в рамках организации
или можно обращаться к услугам внешнего специалиста. Лицо, выбранное для решения этой задачи, должно вы
полнять две функции:
i) аудитора, т. е. осуществлять мониторинг приватности каждого этапа процесса разработки и подтверж
дать успешное выполнение требований каждого этапа, а также обладать свободой в вопросе подтверж
дения соответствия (или несоответствия) требованиям приватности без вмешательства со стороны груп
пы проекта:
ii) эксперта, т. е. обладать поддающейся проверке компетентностью в вопросах приватности.
41