ДСТУ ISO/IEC 27034-1:2017 Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 1. Огляд і загальні поняття (ISO/IEC 27034-1:2011; Cor 1:2014, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУ ISO/IEC 27034-1:2017
(ISO/IEC 27034-1:2011; Cor 1:2014, IDТ)

Інформаційні технології

МЕТОДИ ЗАХИСТУ
БЕЗПЕКА ПРИКЛАДНИХ ПРОГРАМ

Частина 1. Огляд і загальні поняття

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2019

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20), Міжнародний науково-навчальний центр інформаційних технологій та систем (Міжнародний центр)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)) від 26 грудня 2017 р. № 461 з 2019-01-01

3 Національний стандарт відповідає ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security — Part 1: Overview and concepts (Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 1. Огляд і загальні поняття), з поправкою Соr. 1:2014

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 27034-1:2016 (ISO/IEC 27034-1:2011, IDТ); ДСТУ ISO/IEC 27034-1:2016/ Поправка № 1:2016 (ISO/IEC 27034-1:2011/Cor 1:2014, IDT)

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 27034-1:2011

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Скорочення

5 Структура ISO/IEC 27034

6 Вступ до безпеки додатків

6.1 Загальні положення

6.2 Безпека додатків та безпека програмного забезпечення

6.3 Сфера безпеки додатків

6.4 Вимоги щодо безпеки додатків

6.5 Ризик

6.6 Вартість безпеки

6.7 Цільове середовище

6.8 Засоби контролю й керування та їхні цілі

7 Загальні процеси ISO/IEC 27034

7.1 Компоненти, процеси та структури

7.2 Процес керування НСО

7.3 Процес керування безпекою додатків

8 Концепції

8.1 Нормативна структура організації

8.2 Оцінювання ризику безпеки додатків

8.3 Нормативна структура додатка

8.4 Підготовка до роботи та експлуатація додатків

8.5 Аудит безпеки додатка

Додаток А (довідковий) Конкретний приклад зіставлення наявного процесу розроблення з ISO/ІЕС 27034

Додаток В (довідковий) Зіставлення ЗКБД з наявним стандартом

Додаток С (довідковий) Зіставлення процесу керування ризиками ISO/IEC 20775 та ПКБД

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27034-1:2017 (ISO/IEC 27034-1:2011/Соr 1:2014, IDТ) «Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 1. Огляд і загальні поняття», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 27034-1:2011 (версія en) «Information technology — Security techniques — Application security — Part 1: Overview and concepts» з поправкою Cor 1:2014. Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27034-1:2016 (ISO/IEC 27034-1:2011, IDT) та ДСТУ ISO/IEC 27034-1:2016/Поправка № 1:2016 (ISO/IEC 27034-1:2011/Cor 1:2014, IDТ) «Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 1. Огляд і концепція», прийнятих методом підтвердження.

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України. Цей стандарт є однією з частин багаточастинного стандарту, об’єднаних загальною назвою «Інформаційні технології. Методи захисту. Безпека прикладних програм». Конкретно про кожну з частин написано в розділі 5 цього стандарту.

До стандарту внесено такі редакційні зміни:

— слова «ця частина ISO/IEC 27034» та «цей документ» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Зміст», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;

— вилучено «Передмову» до ISO/IEC 27034-1:2011 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті);

— текст поправки Соr 1:2014, долученої до цього стандарту, у тексті позначено подвійною рискою на березі сторінки.

ВСТУП до ISO/IEC 27034-1:2011

0.1 Загальні положення

Організації повинні забезпечувати захист своєї інформації й технологічних інфраструктур для збереження свого бізнесу. Традиційно це відбувається на IT-рівні за допомогою захисту периметра й таких компонентів технологічних структур, як комп’ютери та мережі. Але цього зазвичай недостатньо.

Крім того, організації все більше прагнуть забезпечувати свій захист на рівні корпоративного керування, використовуючи формалізовані, протесговані й перевірені системи керування інформаційною безпекою (СКІБ). Системний підхід сприяє ефективності систем керування інформаційною безпекою, як описано в ISO/IEC 27001.

Однак у цей час організації стикаються з потребою захисту своєї інформації на рівні додатків, що постійно зростає.

Додатки потребують захисту від вразливостей, які мажуть бути властиві самому додатку (наприклад, дефекти програмного забезпечення), можуть з’являтися протягом життєвого циклу програм (наприклад, в результаті змін додатка) чи виникати в результаті використання додатків за невідповідних умов. Системний підхід до посилення безпеки додатків забезпечує відповідний захист інформації, яку використовують або зберігають додатки організації.

Додатки можуть бути отримані за допомогою внутрішнього розроблення, аутсорсингу чи покупки готового комерційного продукту. Додатки можуть бути також отримані поєднанням підходів, що може призвести до інших наслідків у плані безпеки, які також потребують розгляду та керування.

Прикладами додатків є кадрові системи, фінансові системи, системи обробки текстів, системи керування взаємодією з клієнтами, міжмережеві екрани, антивірусні системи й системи виявлення вторгнень.

Протягом свого життєвого циклу безпечний додаток проявляє необхідні характеристики програмного забезпечення, такі як передбачуване виконання та відповідність, а також виконання вимог щодо безпеки з точки зору розроблення, керування, технологічної інфраструктури та перспективи аудиту.

Для створення надійних додатків, які не збільшують схильності до ризику вище припустимого чи прийнятного рівня залишкового ризику та підтримують ефективну СКІБ, потрібні процеси та практичні прийоми посиленої безпеки, а також кваліфіковані особи для їх виконання.

Крім того, безпечний додаток враховує вимоги щодо безпеки, що випливають з типу даних, цільового середовища (бізнес-контекст, нормативний і технологічний контексти), дійових осіб і специфікацій додатків. Має бути можливість отримання свідчень, які доводять, що припустимий (або прийнятний) рівень залишкового ризику досягнуто та підтримується.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
 БЕЗПЕКА ПРИКЛАДНИХ ПРОГРАМ
Частина 1. Огляд і загальні поняття

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
 APPLICATION SECURITY
Part 1. Overview and concepts

Чинний від 2019-01-01

1 СФЕРА ЗАСТОСУВАННЯ

ISO/IEC 27034 надає організаціям інструкції, які допомагають інтегрувати безпеку в процеси, які організації використовують для керування своїми додатками.

У цьому стандарті наведено загальний огляд безпеки додатків. Вона представляє визначення, принципи та процеси, які стосуються безпеки додатків.

ISO/IEC 27034 можна застосовувати для додатків, розроблених в організації чи придбаних у третьої сторони, а також у разі аутсорсингу розроблення чи експлуатації додатків.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи повністю або частково необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 27000:2009 Infonnation technology — Security techniques— Information security management systems — Overview and vocabulary

ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements

ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management

ISO/IEC 27005:2011 Information technology— Security techniques— Information security risk management.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ІSО/ІЕС 27000 Інформаційні технології. Методи захисту. Система керування інформаційною безпекою. Огляд і словник термінів

ISO/ІЕС 27001 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги

ІSО/ІЕС 27002 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки

ІSО/ІЕС 27005 Інформаційні технології. Методи захисту. Керування ризиками інформаційної безпеки.