ГОСТ Р ИСО/МЭК (проект, первая редакция). Информационные технологии. Безопасность приложений. Часть 7. Основы прогнозирования гарантии безопасности

20 декабря 2019 — заканчивается 15 февраля 2020

Проект

Разработчик

Федеральное государственное учреждение «Федеральный исследовательский центр «Информатика и управление» Российской академии наук»

Технический комитет

Технический комитет по стандартизации 022 "Информационные технологии"

Международные аналоги

Идентичен международному стандарту ИСО/МЭК 27034-7:2018 «Информационные технологии. Безопасность приложений. Часть 7. Основы прогнозирования гарантии безопасности» (ISO/IEC 27034-7:2018 «Information technology — Application security —Part 7: Assurance prediction framework»)

ОКС/МКС/ISO

ОКС 35.030

Описание

Стандарт описывает те минимальные требования, при которых действия, определенные мерами и средствами контроля и управления безопасностью приложений (ASC) заменяются обоснованием безопасности приложения по прогнозированию (PASR). ASC, сопоставленный с PASR, определяет ожидаемый уровень доверия для последующего приложения. В контексте ожидаемого уровня доверия всегда существует оригинальное приложение, в котором проектная группа выполнила действия указанного ASC для достижения фактического уровня доверия.

Использование обоснований безопасности приложений по прогнозированию (PASR), определенных в настоящем документе, применимо к проектным командам, которые имеют определенную нормативную структуру приложений (ANF) и исходное приложение с фактическим уровнем доверия.

Прогнозы относительно агрегирования нескольких компонентов или истории разработчика по отношению к другим приложениям выходят за рамки данного документа.

Файлы проекта

Проект_ГОСТ_Р_ИСО_МЭК_27034-7.pdf

Форма замечаний к проекту

1 обсуждение

Приглашаем обсудить проект ГОСТ Р по основам прогнозирования гарантии безопасности приложений

Публичное обсуждение проекта продлится до 15 февраля 2020 г.

Целью стандарта является оказание помощи организациям в разработке и использовании обоснований безопасности приложения по прогнозированию (PASR) в распространении информации о свойствах безопасности нескольких версий одного и того же приложения путем:

а. предоставления дополнительных руководящих указаний группе нормативной структуры организации (Committee ONF), с тем чтобы они могли устанавливать соответствующие руководящие принципы в отношении того, когда прогнозы являются, а когда не являются подходящими для их организаций;
б. предоставления результатов анализа риска, содержащего обоснование того, почему изменения в последующем приложении не являются существенными;
в. применения к прикладным проектам, использующим нормативную структуру приложений (ANF);
г. указания фактического уровня доверия к исходному и последующим приложениям;
д. указания ожидаемого уровня доверия для исходного (при условии его использования), и последующих приложений;
е. предоставления обоснования тому, почему анализ рисков, прогнозы для индивидуальных мер и средств контроля и управления безопасностью приложения (ASC) и фактический уровень доверия вместе создают ожидаемый уровень доверия;
ж. проверки PASR, когда аудитор принимает решение повторно выполнить соответствующее действие проверки ASC.