ДСТУ ISO/IEC 27034-2:2017 Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 2. Нормативна структура організації (ISO/IEC 27034-2:2015, IDТ)

Даний документ доступний у тарифі «ВСЕ ВРАХОВАНО»

У Вас є питання стосовно документа? Ми раді на них відповісти!Перелік безкоштовних документівПомітили помилку в документі або на сайті? Будь ласка, напишіть нам про це!Залишити заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ
БЕЗПЕКА ПРИКЛАДНИХ ПРОГРАМ
Частина 2. Нормативна структура організації

ДСТУ ISO/IEC 27034-2:2017
(ISO/IEC 27034-2:2015, IDТ)

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2019

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20), Міжнародний науково-навчальний центр інформаційних технологій та систем (Міжнародний центр)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)) від 26 грудня 2017 р. № 461 з 2019-01-01

3 Національний стандарт відповідає ISO/IEC 27034-2:2015 Information technology — Security techniques — Application security — Part 2: Organization normative framework (Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 2. Нормативна структура організації)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 27034-2:2016 (ISO/IEC 27034-2:2015, IDT)

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 27034-2:2015

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Скорочення

5 Нормативна структура організації

5.1 Загальні положення

5.2 Призначення

5.3 Принципи

5.4 Процес керування НСО

5.5 Елементи НСО

Додаток А (довідковий) Порівняння НСО та КБД з ISO/IEC 15288 та ISO/IEC 12207 за допомогою ISO/IEC 15026-4

Додаток В (довідковий) Приклад впровадження НСО: реалізації безпеки додатків ISO/IEC 27034 та її НСО в наявній організації

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27034-2:2017 (ISO/IEC 27034-2:2015, IDТ) «Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 2. Нормативна структура організації», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 27034-2:2015 (версія en) «Information technology — Security techniques — Application security — Part 2: Organization normative framework».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27034-2:2016 (ISO/IEC 27034-2:2015, IDT) «Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 2. Основні нормативні положення організації», прийнятого методом підтвердження.

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

Цей стандарт є однією з частин багаточастинного стандарту, об’єднаних загальною назвою «Інформаційні технології. Методи захисту. Безпека прикладних програм», а саме:

— Частина 1. Огляд і загальні поняття

— Частина 2. Нормативна структура організації.

До стандарту внесено такі редакційні зміни:

— слова «ця частина ISO/IEC 27034» та «цей документ» замінено на «цей стандарт»;

— вилучено «Передмову» до ISO/IEC 27034-2:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних і/або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті);

ВСТУП до ISO/IEC 27034-2:2015

Загальні положення

Організації повинні забезпечувати захист своєї інформації й технологічних інфраструктур для збереження свого бізнесу. Для організацій існує нагальна потреба в зосередженні на захисті своєї інформації на рівні прикладних програм (додатків). Системний підхід до підвищення безпеки додатків надає організації упевненості в тому, що інформація, яку використовують або зберігають в її додатках, відповідно захищена.

ISO/IEC 27034 розглядає концепції, принципи, основи, компоненти та процеси для допомоги організаціям у справі інтеграції неперервного захисту їхніх додатків упродовж усього життєвого циклу.

Нормативна структура організації (НСО) є найважливішим «з цих компонентів.

НСО є тією частиною структури організації, яка містить усі перевірені методи та засади безпечного функціонування додатків. Вона охоплює основні компоненти, процеси, які використовують ці компоненти, і процеси керування самою НСО. Вона є підґрунтям безпеки додатків організації і всі подальші рішення щодо безпеки додатків треба приймати з урахуванням НСО. НСО є беззаперечним джерелом для всіх компонентів і процесів, пов’язаних з безпекою додатків в організаціях.

Цей стандарт визначає процеси, необхідні для керування безпекою додатків в організаціях. Ці процеси подано в 5.4. Також розглянуто різні елементи безпеки додатків (процесів, ролей і компонентів), які має бути враховано в НСО. Ці елементи подано в 5.5.

Також у цьому стандарті розглянуто процес аудиту НСО, необхідний для організації під час перевіряння своєї НСО та відповідності своїх додатків вимогам і параметрам НСО. Цей процес подано в 5.4.8.

Призначення

Цю частину ISO/IEC 27034 призначено допомогти організаціям у створенні, підтримці й перевірці свої власної НСО відповідно до вимог цього стандарту.

Цей стандарт призначено для того, щоб організації могли узгоджувати чи інтегрувати свої НСО в архітектуру підприємства організації та/чи в систему керування вимогами інформаційної безпеки організації. Проте впровадження системи керування безпекою інформації, як описано в ISO/IEC 27001, не є обов’язковою вимогою для реалізації цього стандарту.

Цільова аудиторія

Загальні положення

Ці представники матимуть користь і переваги під час виконання поставлених перед ними організаційних задач:

a) менеджери;

b) комітет НСО;

c) експерти;

d) аудитори.

Менеджери

Менеджерам варто прочитати цей стандарт, адже вони несуть відповідальність за таке:

a) підвищення безпеки додатків через НСО та інші аспекти ISO/ІЕС 27034;

b) забезпечення відповідності НСО до потреб системи керування інформаційною безпекою та безпекою додатків організації;

c) створення НСО в організації;

d) забезпечення доступності НСО, її висвітлення та використання в додатках проектів з належними інструментами та процедурами в усій організації;

е) визначення відповідних рівнів керування, на яких має звітувати комітет НСО.

Комітет НСО

Комітет НСО відповідає за керування реалізацією та підтримкою компонентів і процесів НСО, пов’язаних з роботою додатків, які забезпечують захист. Комітет НСО повинен

a) керувати вартістю реалізації додатків та підтримки НСО,

b) визначити, які компоненти та процеси мають бути реалізовані в НСО,

c) слідкувати за тим, щоб компоненти й процеси відповідали пріоритетам організації стосовно вимог щодо безпеки,

d) розглядати звіти аудиторів для прийняття чи відхилення твердження про те, що НСО відповідає цьому стандарту та вимогам організації,

е) дбати про те, щоб керування здійснювалось відповідно до стандартів, законів, правил, норм та згідно з нормативно-правовим контекстом організації,

f) проводити консультації з питань безпеки, навчання й нагляду з усіма учасниками, та

g) сприяти дотриманню норм НСО в усіх проектах додатків у рамках всієї організації.

Розробники НСО

Фахівці, які були призначені комітетом НСО розробити й реалізувати один чи більше елементів

НСО, повинні

a) розробити та впровадити розроблений елемент НСО,

b) визначити, хто з дійових осіб має бути навчений використанню цього елементу НСО, і

c) співпрацювати для забезпечення належної підготовки дійових осіб.

Експерти

Експерти з постачання, експлуатації, комплектації та аудиту, які повинні

a) брати участь у реалізації та обслуговуванні НСО,

b) перевіряти, що НСО є придатною та корисною під час роботи над проектами, і

c) пропонувати до розгляду нові компоненти та процеси.

Аудитори

Аудитори є працівниками, які беруть участь у процесі аудиту, а також у процесі валідації та верифікації НСО.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
БЕЗПЕКА ПРИКЛАДНИХ ПРОГРАМ
Частина 2. Нормативна структура організації

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
APPLICATION SECURITY
Part 2. Organization normative framework

Чинний від 2019-01-01

1 СФЕРА ЗАСТОСУВАННЯ

У цьому стандарті наведено докладний опис нормативної бази організації та викладено рекомендації для організацій щодо користування нею.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи повністю або частково необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary

ISO/IEC 27005 Information technology — Security techniques — Information security risk management

ISO/IEC 27034-1:2011 Information technology — Security techniques— Application security — Part 1: Overview and concepts.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/ІЕС 27000 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник термінів

ISO/ІЄС 27005 Інформаційні технології. Методи захисту. Керування ризиками інформаційної безпеки

ISO/ІЕС 27034-1:2011 Інформаційні технології. Методи захисту. Безпека прикладних програм. Частина 1. Огляд і загальні поняття.

Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».

Увійти в Особистий кабінет Детальніше про тарифи

БУДСТАНДАРТ Online