Все проекты

20 декабря 2019 заканчивается 15 февраля 2020
  Проект

Разработчик

Федеральное государственное учреждение «Федеральный исследовательский центр «Информатика и управление» Российской академии наук»

Технический комитет

Международные аналоги

Идентичен международному стандарту ИСО/МЭК 27034-7:2018 «Информационные технологии. Безопасность приложений. Часть 7. Основы прогнозирования гарантии безопасности» (ISO/IEC 27034-7:2018 «Information technology — Application security —Part 7: Assurance prediction framework»)

ОКС/МКС/ISO

ОКС 35.030

Описание

Стандарт описывает те минимальные требования, при которых действия, определенные мерами и средствами контроля и управления безопасностью приложений (ASC) заменяются обоснованием безопасности приложения по прогнозированию (PASR). ASC, сопоставленный с PASR, определяет ожидаемый уровень доверия для последующего приложения. В контексте ожидаемого уровня доверия всегда существует оригинальное приложение, в котором проектная группа выполнила действия указанного ASC для достижения фактического уровня доверия.

Использование обоснований безопасности приложений по прогнозированию (PASR), определенных в настоящем документе, применимо к проектным командам, которые имеют определенную нормативную структуру приложений (ANF) и исходное приложение с фактическим уровнем доверия.

Прогнозы относительно агрегирования нескольких компонентов или истории разработчика по отношению к другим приложениям выходят за рамки данного документа.

1 обсуждение

Приглашаем обсудить проект ГОСТ Р по основам прогнозирования гарантии безопасности приложений

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Целью стандарта является оказание помощи организациям в разработке и использовании обоснований безопасности приложения по прогнозированию (PASR) в распространении информации о свойствах безопасности нескольких версий одного и того же приложения путем:

  • а. предоставления дополнительных руководящих указаний группе нормативной структуры организации (Committee ONF), с тем чтобы они могли устанавливать соответствующие руководящие принципы в отношении того, когда прогнозы являются, а когда не являются подходящими для их организаций;
  • б. предоставления результатов анализа риска, содержащего обоснование того, почему изменения в последующем приложении не являются существенными;
  • в. применения к прикладным проектам, использующим нормативную структуру приложений (ANF);
  • г. указания фактического уровня доверия к исходному и последующим приложениям;
  • д. указания ожидаемого уровня доверия для исходного (при условии его использования), и последующих приложений;
  • е. предоставления обоснования тому, почему анализ рисков, прогнозы для индивидуальных мер и средств контроля и управления безопасностью приложения (ASC) и фактический уровень доверия вместе создают ожидаемый уровень доверия;
  • ж. проверки PASR, когда аудитор принимает решение повторно выполнить соответствующее действие проверки ASC.

NormaCS

Администратор, 20 декабря 2019