ГОСТ Р ИСО/МЭК 27034-5-2020 PDF

Полное наименование и описание

ГОСТ Р ИСО/МЭК 27034-5-2020. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений — национальная редакция международного стандарта, определяющая модель данных и структуру атрибутов для описания протоколов и мер обеспечения безопасности приложений (Application Security Controls, ASC).

Аннотация

Стандарт описывает минимальный набор атрибутов и структуру данных, используемых для представления мер обеспечения безопасности приложений и протоколов взаимодействия, а также описывает связи с эталонной моделью жизненного цикла безопасности приложений (ASLCRM). Документ предназначен для унифицированного описания мер безопасности (МОБП) и их артефактов, чтобы обеспечить взаимодействие инструментов и процессов в области безопасности приложений.

Общая информация

• Статус: Действующий (принят как национальный стандарт РФ, идентичен международному стандарту ISO/IEC 27034-5:2017).
• Дата публикации: Утверждён Приказом Росстандарта 10 ноября 2020 г.; введён в действие с 1 июня 2021 г.
• Организация-издатель: Федеральное агентство по техническому регулированию и метрологии (Росстандарт) — национальное издание на основе ISO/IEC.
• ICS / категории: 35.030 — Информационные технологии. Безопасность ИТ.
• Редакция / версия: Национальная идентичная редакция (IDT) ISO/IEC 27034-5:2017; дизайн документа ГОСТ Р ИСО/МЭК 27034-5-2020.
• Количество страниц: 36 (национальная публикация); исходная международная версия ISO/IEC 27034-5:2017 — 33 страницы.

Область применения

Стандарт применяется при разработке, внедрении и документировании мер и протоколов безопасности приложений — в части описания их структур данных и атрибутов. Рекомендуется использовать при создании корпоративных реестров мер безопасности, описании требований к инструментам автоматизации управления безопасностью приложений и при обмене артефактами между системами и организациями.

Ключевые темы и требования

• Определение минимального набора атрибутов для описания мер обеспечения безопасности приложений (ASC) и связанных протоколов.
• Структура данных для представления мероприятий, ролей, артефактов и показателей в эталонной модели жизненного цикла безопасности приложений (ASLCRM).
• Правила включения сложных (нетекстовых) элементов данных (документы, исходный код, исполняемые артефакты) в спецификации мероприятий.
• Рекомендации по связыванию мер с матрицами обязанностей (например, RACI/RASCI) и указанию требуемых квалификаций ресурсов.
• Совместимость и привязка к другим стандартам серии ISO/IEC 27034 и смежным стандартам по менеджменту и аудиту.

Применение и пользователи

Стандарт полезен для: разработчиков и архитекторов приложений при проектировании безопасных сервисов; специалистов по информационной безопасности при формализации мер и требований; поставщиков средств автоматизации безопасности приложений; аудиторов и регуляторов, анализирующих полноту и формализацию мер защиты. Применяется в корпоративных политиках безопасности, в спецификациях требований к ПО и при интеграции инструментов управления безопасностью приложений.

Связанные стандарты

Является частью серии ISO/IEC 27034 (Application security). Тесно связан с частью 1 (обзор и общие понятия), частью 3 (процесс менеджмента безопасности приложений) и с техническим сопровождением — XML‑схемами, реализованными в национальном документе ГОСТ Р 59494-2021 (часть 5-1), который определяет XML‑схемы для структуры данных, описываемых в части 5.

Ключевые слова

безопасность приложений, ASC, Application Security Controls, структура данных, эталонная модель жизненного цикла безопасности приложений, ASLCRM, протоколы безопасности, RACI, спецификация мероприятий.

FAQ

В: Что это за стандарт?

О: Национальная редакция международного стандарта ISO/IEC 27034-5, определяющая структуру данных и минимальные атрибуты для описания протоколов и мер обеспечения безопасности приложений (Application Security Controls).

В: Что он регулирует?

О: Описывает формат и обязательные атрибуты для спецификаций мер безопасности приложений, способы представления мероприятий, ролей, артефактов и связей с жизненным циклом приложений; не диктует конкретных мер, а стандартизирует их описание и обмен информацией между системами и процессами.

В: Кто обычно использует?

О: Архитекторы и разработчики ПО, специалисты по информационной безопасности, интеграторы и поставщики средств управления безопасностью приложений, аудиторы и ответственные за соответствие требованиям организации.

В: Он актуален или заменён?

О: На момент принятия национальной редакции стандарт был идентичен ISO/IEC 27034-5:2017 и введён в действие в 2021 году; международная версия ISO/IEC 27034-5:2017 была подтверждена при периодическом рассмотрении стандартов. Для подтверждения текущего статуса и возможных обновлений рекомендуется сверять актуальность в официальных реестрах.

В: Это часть серии?

О: Да — часть серии ISO/IEC 27034 «Application security». Включает другие части, в частности часть 1 (обзор и общие понятия), часть 3 (процессы менеджмента безопасности приложений) и сопутствующие технические материалы (например, часть 5-1 с XML‑схемами в российской версии ГОСТ Р 59494-2021).

В: Какие ключевые слова?

О: Application security, ASC, меры обеспечения безопасности приложений, структура данных, ASLCRM, протоколы безопасности, спецификация мероприятий, RACI.