ГОСТ Р ИСО/МЭК 27034-6-2021 PDF

Полное наименование и описание

ГОСТ Р ИСО/МЭК 27034-6-2021. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры — национальная идентичная версия международного стандарта ISO/IEC 27034-6 (Case studies), содержащая примеры применения мер обеспечения безопасности приложений (ASC / МОБП) для конкретных типов приложений и сценариев внедрения.

Аннотация

Стандарт предоставляет практические примеры (case studies) использования и адаптации мер обеспечения безопасности приложений (МОБП/ASC) в разных контекстах: анализ исходного кода, интеграция сторонних средств, вопросы конфиденциальности при межстрановом использовании и внедрение мер в жизненный цикл разработки. Примеры даны в справочных целях и призваны помочь организациям сформировать собственную библиотеку МОБП и применить структуру данных ASC (включая рекомендованные XML-форматы).

Общая информация

• Статус: Введён в действие и действует на территории РФ (национальный стандарт, идентичен ISO/IEC 27034-6:2016).
• Дата публикации: Вводится в действие с 30 ноября 2021 года (опубликован/введён 30.11.2021).
• Организация-издатель: Федеральное агентство по техническому регулированию и метрологии (Росстандарт). Утверждён Приказом Росстандарта от 18 мая 2021 г. N 369-ст.
• ICS / категории: ОКС (ICS) 35.030 — информационные технологии; безопасность ИТ (приведено в тексте национального стандарта).
• Редакция / версия: 2021 (идентичен международной редакции ISO/IEC 27034-6:2016, реализован как национальный ГОСТ Р в 2021 г.).
• Количество страниц: примерно 70 страниц (выпуск национальной версии — около 70 страниц в типовом оформлении).

Область применения

Стандарт содержит примеры применения мер обеспечения безопасности приложений (МОБП/ASC) в конкретных ситуациях и предназначен для использования организациями, внедряющими меры безопасности приложений: разработчиками, командами безопасности, интеграторами и аудиторами. Примеры служат иллюстрацией — рекомендации носят справочный характер и предполагают адаптацию МОБП под конкретные требования и регламенты организации.

Ключевые темы и требования

• Примеры разработки и оформления мер обеспечения безопасности приложений (МОБП / ASC) для конкретных типов приложений (например, анализ исходного кода Java для мобильных приложений).
• Интеграция сторонних мер обеспечения безопасности и их включение в жизненный цикл безопасной разработки (Secure SDLC).
• Использование нормативной структуры организации (ONF/НСО) и эталонной модели жизненного цикла безопасности приложений (ASLCRM).
• Рекомендации по структуре данных МОБП и применение XML-схем (связь с частями 5 и 5-1 серии ISO/IEC 27034).
• Примеры разрешения конфликтов требований (например, вопросы хранения персональных данных в разных юрисдикциях) и распределения ролей/ответственностей в процессах безопасности приложений.

Применение и пользователи

Целевые пользователи стандарта: специалисты по безопасности приложений, архитекторы безопасности, разработчики, менеджеры проектов, владельцы приложений, интеграторы и внутренние/внешние аудиторы. Стандарт полезен для организаций, разрабатывающих, покупающих или эксплуатирующих прикладные программные решения, а также для формализации библиотек МОБП и практик безопасной разработки.

Связанные стандарты

ГОСТ Р ИСО/МЭК 27034-6-2021 является частью серии ISO/IEC 27034 (Application security). См. родственные части серии: 27034-1 (обзор и понятия), 27034-2 (нормативная структура организации), 27034-3 (процессы управления безопасностью приложений), 27034-5 и 27034-5-1 (протоколы и структура данных ASC / XML), а также другие части серии, описывающие валидацию и прогнозирование уровня обеспечения безопасности приложений.

Ключевые слова

Безопасность приложений; Application Security Controls (ASC); МОБП; ONF / НСО; ASLCRM; жизненный цикл безопасности приложений; Secure SDLC; примеры/кейсы; XML-схемы.

FAQ

В: Что это за стандарт?

О: Национальная версия международного стандарта ISO/IEC 27034-6 в системе ГОСТ Р, даёт практические примеры (case studies) по применению мер обеспечения безопасности приложений.

В: Что он регулирует?

О: Стандарт не вводит обязательных технических требований к продуктам, а предоставляет иллюстративные примеры структуры и содержания МОБП/ASC, показывает способы интеграции мер безопасности в процессы разработки и эксплуатации приложений и помогает адаптировать лучшие практики под конкретную организацию.

В: Кто обычно использует?

О: Эксперты по безопасности приложений, архитекторы, разработчики, менеджеры проектов, специалисты по комплаенсу и аудиторы — все участники, вовлечённые в планирование, разработку, внедрение и проверку мер безопасности для приложений.

В: Он актуален или заменён?

О: Введён в действие 30 ноября 2021 г. как национальный стандарт ГОСТ Р, идентичен международной редакции 2016 года. Вопрос о пересмотре или подтверждении статуса может зависеть от циклов пересмотра ISO/IEC и решений Росстандарта; рекомендуется проверять актуальность через официальные реестры перед применением в критичных проектах.

В: Это часть серии?

О: Да — часть серии ISO/IEC 27034 по безопасности приложений; другие части серии покрывают концепции, организационную нормативную структуру, процессы управления, структуру данных ASC и т.д. Часть 6 ориентирована именно на практические примеры применения.

В: Какие ключевые слова?

О: Безопасность приложений, МОБП, ASC, НСО/ONF, ASLCRM, жизненный цикл безопасности приложений, Secure SDLC, case studies, XML-схемы.