ГОСТ Р ИСО/МЭК 27034-3-2021 PDF

Полное наименование и описание

ГОСТ Р ИСО/МЭК 27034-3-2021. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений. Национальный стандарт РФ, идентичный международному стандарту ISO/IEC 27034-3:2018, описывает процесс менеджмента безопасности приложений, целевой уровень доверия и структуру управления мерами безопасности в рамках жизненного цикла приложений.

Аннотация

Стандарт устанавливает процессный подход к обеспечению безопасности приложений: от определения требований и оценивания рисков до верификации, аудита и подтверждения соответствия целевому уровню доверия приложения. Предназначен для интеграции мероприятий по безопасности в процесс разработки и сопровождения приложений и для формирования нормативной структуры организации и приложений (НСО и НСП).

Общая информация

• Статус: Действующий.
• Дата публикации: Утверждён Приказом Федерального агентства по техническому регулированию и метрологии от 14 мая 2021 г. N 351-ст; введён в действие с 30 ноября 2021 г.
• Организация-издатель: Федеральное агентство по техническому регулированию и метрологии (Росстандарт); текст стандарта опубликован в рамках национальной системы стандартизации РФ.
• ICS / категории: ОКС 35.030 (информационные технологии — методы и средства обеспечения безопасности).
• Редакция / версия: ГОСТ Р ИСО/МЭК 27034-3-2021 — национальная идентификация ISO/IEC 27034-3:2018 (первая редакция в рамках серии 27034).
• Количество страниц: Около 54 страниц (формат PDF/электронный текст).

Область применения

Стандарт применим для организаций любого размера и отрасли, которые разрабатывают, приобретают или эксплуатируют программные приложения и стремятся формализовать и управлять процессом обеспечения их безопасности. Охватывает процессы на уровне организации (НСО) и на уровне конкретного приложения (НСП), включая определение требований безопасности, оценку рисков, проектирование и валидацию мер обеспечения безопасности, а также подтверждение соответствия целевому уровню доверия.

Ключевые темы и требования

• Определение и внедрение процесса менеджмента безопасности приложений (ПМБП): роли, обязанности и этапы процесса.
• Нормативная структура организации (НСО) и нормативная структура приложения (НСП) как репозитории политик, процедур и доказательств.
• Оценка рисков приложения и установление целевого уровня доверия (Targeted Level of Trust).
• Определение требований безопасности приложения и их трансляция в меры обеспечения безопасности (МОБП).
• Верификация, валидация и аудит мер безопасности, сбор и хранение доказательств выполнения мер.
• Интеграция с системами управления информационной безопасностью и стандартами серии ISO/IEC 27000 (например, ISO/IEC 27001, ISO/IEC 27005).
• Поддержание и непрерывное улучшение мер безопасности в жизненном цикле приложения.

Применение и пользователи

Основные пользователи — менеджеры по информационной безопасности, владельцы приложений, руководители проектов разработки, архитекторы безопасности, разработчики, аудиторы и организации, ответственные за сопровождение критичных приложений. Стандарт полезен при внедрении централизованной политики безопасности приложений, при формализации ролей и при построении доказательной базы для утверждения безопасности приложения.

Связанные стандарты

Является частью серии ISO/IEC 27034 по безопасности приложений. Сопутствующие части и близкие по содержанию документы — части 1 и 2 серии 27034, а также другие части (например, 5, 6, 7) и стандарты серии ISO/IEC 27000 (ISO/IEC 27001, ISO/IEC 27005 и др.). ГОСТ Р ИСО/МЭК 27034-3-2021 идентичен ISO/IEC 27034-3:2018 и входит в набор национальных внедрённых стандартов 2021 года.

Ключевые слова

безопасность приложений, менеджмент безопасности, Targeted Level of Trust, НСО, НСП, верификация, аудит, ISO/IEC 27034, управление рисками, приложения, жизненный цикл ПО

FAQ

В: Что это за стандарт?

О: Национальный стандарт РФ, идентичный международному ISO/IEC 27034-3:2018, регламентирующий процесс менеджмента безопасности приложений — от формирования требований до верификации и подтверждения соответствия целевому уровню доверия приложения.

В: Что он регулирует?

О: Описывает процессный подход к управлению безопасностью приложений: организационные структуры (НСО), проектную нормативную структуру приложений (НСП), оценку рисков, определение требований безопасности, внедрение мер обеспечения, верификацию/аудит и поддержание соответствия в течение жизненного цикла приложения.

В: Кто обычно использует?

О: Менеджеры по ИБ, владельцы приложений, команды разработки и тестирования, архитекторы безопасности, аудиторы и ответственные за сопровождение приложений организации — в тех случаях, когда требуется формализация и доказательная база безопасности приложений.

В: Он актуален или заменён?

О: На момент введения в действие (30 ноября 2021 г.) стандарт действует в качестве национального стандарта РФ и в справочных источниках обозначается как действующий. Необходимо проверять актуальный статус в официальных реестрах стандартов при практическом применении.

В: Это часть серии?

О: Да — часть серии ISO/IEC 27034 «Application security». Серия включает несколько частей (части 1–7 в различной степени опубликованных и действующих), а также связана с другими стандартами ISO/IEC 27000-й серии по управлению информационной безопасностью и оценке рисков.

В: Какие ключевые слова?

О: безопасность приложений, управление безопасностью, верификация, аудит безопасности, целевой уровень доверия, НСО, НСП, ISO/IEC 27034, управление рисками.