Tổng quan

Tiêu chuẩn ISO / IEC 27034-3: 2018

Giới thiệu

0.1 Khái quát

Một cách tiếp cận có hệ thống để tích hợp các biện pháp kiểm soát bảo mật trong suốt vòng đời kỹ thuật cung cấp cho tổ chức bằng chứng rằng thông tin đang được sử dụng hoặc lưu trữ bởi các ứng dụng của tổ chức đang được bảo vệ đầy đủ.

Bộ tiêu chuẩn ISO / IEC 27034 hỗ trợ các tổ chức tích hợp bảo mật trong suốt vòng đời của các ứng dụng của họ bằng cách cung cấp các khuôn khổ và quy trình trong phạm vi cấp tổ chức và ứng dụng.

Tài liệu này xác định các quy trình cần thiết để quản lý bảo mật của một ứng dụng được tổ chức xác định là xử lý thông tin quan trọng.

Bảng 1 - Tổng quan về khung ISO / IEC 27034

Như được trình bày trong Bảng 1, khung và quy trình cấp tổ chức được cung cấp bởi Khung quy phạm tổ chức (ONF). ONF, các yếu tố của nó và các quy trình hỗ trợ được định nghĩa trong ISO / IEC 27034-2 .

Khung và quy trình cấp ứng dụng được tài liệu này cung cấp trong các Điều 5 , 6 và 7 . Quy trình Quản lý Bảo mật Ứng dụng (ASMP) giúp nhóm dự án áp dụng các phần có liên quan của ONF vào một dự án ứng dụng cụ thể và chính thức ghi lại bằng chứng về các kết quả trong Khung Quy phạm Ứng dụng (ANF).

Các quy trình để xác định các yêu cầu ứng dụng và môi trường được bao gồm trong 6.1 đến 6.5 . Điều khoản 6.1 đề cập đến việc xác định các yêu cầu ứng dụng và môi trường của nó, đánh giá các rủi ro bảo mật ứng dụng. Đánh giá mức độ tin cậy được nhắm mục tiêu của ứng dụng được đề cập trong 6.2 , việc tạo và duy trì ANF và Kiểm soát bảo mật ứng dụng (ASC) được đề cập trong 6.3 và các quy trình liên quan đến nhận thức và vận hành ứng dụng được bao gồm trong 6.4 . Cuối cùng, 6.5 trình bày một quy trình để xác minh rằng ANF và ASC được thực hiện đúng cách.

0.2 Mục đích

Mục đích của tài liệu này là cung cấp các yêu cầu và hướng dẫn cho Quy trình quản lý bảo mật ứng dụng và Khung quy chuẩn ứng dụng.

0.3 Đối tượng được nhắm mục tiêu

0.3.1 Yêu cầu chung

Mặc dù tài liệu này cung cấp các phương pháp hay nhất cho khán giả nói chung, nhưng nó đặc biệt hữu ích cho các tác nhân sau:

a) các nhà quản lý
b) đội cung cấp và vận hành
c) những người mua lại
d) nhà cung cấp
e) kiểm toán viên
f) người dùng

0.3.2 Người quản lý

Người quản lý là những người liên quan đến việc quản lý một ứng dụng. Ví dụ về các nhà quản lý là:

a) các nhà quản lý an ninh thông tin bao gồm Giám đốc An ninh Thông tin (CISO)
b) các nhà quản lý dự án
c) các nhà quản lý dòng sản phẩm
d) các nhà quản lý phát triển
e) chủ sở hữu ứng dụng
f) các nhà quản lý tuyến bao gồm Giám đốc Thông tin (CIO), người giám sát nhân viên.

Thông thường, các nhà quản lý cần:

a) đảm bảo rằng mọi dự án, sáng kiến ​​hoặc quy trình ứng dụng đều dựa trên kết quả của quản lý rủi ro
b) đảm bảo rằng một số biện pháp rõ ràng về an toàn thông tin thích hợp được áp dụng theo yêu cầu của các thủ tục và chính sách an toàn thông tin hiện hành
c) quản lý việc triển khai một ứng dụng an toàn
d) cung cấp nhận thức về an ninh, đào tạo và giám sát cho tất cả các bên
e) cân bằng giữa chi phí triển khai và duy trì bảo mật ứng dụng trước những rủi ro và giá trị mà nó đại diện cho tổ chức
f) đảm bảo tuân thủ các tiêu chuẩn, luật và quy định theo bối cảnh quy định của ứng dụng
g) đảm bảo tài liệu về các chính sách và thủ tục bảo mật cho ứng dụng
h) bám sát tất cả các kế hoạch bảo mật liên quan đến ứng dụng trong toàn bộ mạng của tổ chức
i) xác định các biện pháp kiểm soát an ninh và các phép đo xác minh tương ứng cần được thực hiện và thử nghiệm
j) ủy quyền mức độ tin cậy được nhắm mục tiêu theo bối cảnh cụ thể của tổ chức
k) định kỳ xem xét các ứng dụng về các điểm yếu và mối đe dọa bảo mật và thực hiện các hành động khắc phục và phòng ngừa
l) đánh giá các báo cáo của chuyên gia đánh giá khuyến nghị việc chấp nhận hoặc từ chối ứng dụng dựa trên việc thực hiện đúng các biện pháp kiểm soát bảo mật ứng dụng được yêu cầu
m) đảm bảo rằng các lỗi bảo mật được ngăn chặn thông qua các hoạt động mã hóa an toàn
n) dựa trên các quyết định của họ dựa trên các bài học kinh nghiệm rút ra từ các bản ghi cơ sở tri thức

0.3.3 Đội ngũ cung cấp và vận hành

Các thành viên của nhóm cung cấp và vận hành (được gọi chung là nhóm dự án hoặc nhóm ứng dụng) là những người tham gia vào thiết kế, phát triển và bảo trì của ứng dụng trong toàn bộ vòng đời của nó. Các vai trò của nhóm vận hành và cung cấp ví dụ bao gồm:

a) kiến trúc sư
b) các nhà phân tích
c) lập trình viên
d) người thử nghiệm
e) Quản trị viên CNTT, chẳng hạn như quản trị viên hệ thống, quản trị cơ sở dữ liệu, quản trị mạng và quản trị viên ứng dụng.

Thông thường, các thành viên cần:

a) hiểu các biện pháp kiểm soát bảo mật ứng dụng nào nên được áp dụng ở mỗi giai đoạn trong vòng đời của ứng dụng và tại sao
b) hiểu những kiểm soát nào nên được thực hiện trong chính ứng dụng
c) giảm thiểu tác động của việc đưa các biện pháp kiểm soát vào các hoạt động phát triển, thử nghiệm và tài liệu trong vòng đời ứng dụng
d) đảm bảo rằng các biện pháp kiểm soát được giới thiệu đáp ứng các yêu cầu
e) có được quyền truy cập vào các công cụ và thực tiễn tốt nhất để hợp lý hóa việc phát triển, thử nghiệm và tài liệu
f) tạo điều kiện thuận lợi cho việc đánh giá đồng cấp
g) tham gia vào kế hoạch và chiến lược mua lại
h) sắp xếp việc xử lý các vật dụng còn sót lại sau khi công việc hoàn thành, (ví dụ: quản lý / xử lý tài sản).

0.3.4 Người mua

Điều này bao gồm tất cả những người liên quan đến việc mua một sản phẩm hoặc dịch vụ.

Thông thường, những người mua lại cần phải:

a) thiết lập các mối quan hệ kinh doanh để có được hàng hóa và dịch vụ cần thiết, (ví dụ như để trưng cầu, đánh giá và trao hợp đồng)
b) chuẩn bị các yêu cầu đối với các đề xuất bao gồm các yêu cầu về kiểm soát an ninh
c) lựa chọn các nhà cung cấp tuân thủ các yêu cầu đó
d) xác minh bằng chứng về các biện pháp kiểm soát an ninh được áp dụng bởi các dịch vụ thuê ngoài
e) đánh giá sản phẩm bằng cách xác minh bằng chứng về các biện pháp kiểm soát bảo mật ứng dụng được triển khai chính xác

0.3.5 Nhà cung cấp

Điều này bao gồm tất cả những người liên quan đến việc cung cấp một sản phẩm hoặc dịch vụ.

Thông thường, các nhà cung cấp cần:

a) tuân thủ các yêu cầu bảo mật ứng dụng từ các yêu cầu đề xuất

b) lựa chọn các biện pháp kiểm soát bảo mật ứng dụng thích hợp cho các đề xuất, liên quan đến tác động của chúng đối với chi phí
c) cung cấp bằng chứng cho thấy các biện pháp kiểm soát an ninh bắt buộc được thực hiện một cách chính xác trong các sản phẩm hoặc dịch vụ được đề xuất.

0.3.6 Kiểm toán viên

Kiểm toán viên là những người cần:

a) hiểu phạm vi và các thủ tục liên quan đến các phép đo kiểm tra xác nhận đối với các biện pháp kiểm soát tương ứng
b) đảm bảo rằng các kết quả đánh giá có thể lặp lại
c) thiết lập một danh sách các phép đo xác minh tạo ra bằng chứng rằng một ứng dụng đã đạt đến Mức độ tin cậy được nhắm mục tiêu
d) áp dụng các quy trình đánh giá được tiêu chuẩn hóa dựa trên việc sử dụng bằng chứng có thể xác minh được, theo ISO / IEC 27034 (tất cả các phần)

0.3.7 Người dùng

Người dùng là những người cần tin tưởng rằng:

a) nó được coi là an toàn để sử dụng hoặc triển khai một ứng dụng
b) một ứng dụng tạo ra các kết quả đáng tin cậy một cách nhất quán và kịp thời
c) các kiểm soát và các phép đo kiểm tra xác nhận tương ứng của chúng được định vị và hoạt động chính xác như mong đợi

1 Phạm vi

Tài liệu này cung cấp mô tả chi tiết và hướng dẫn triển khai cho Quy trình quản lý bảo mật ứng dụng.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được viện dẫn (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27034-1 Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm
• ISO / IEC 27034-2 Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 2: Khung quy chuẩn của tổ chức
• ISO / IEC 27034-5 Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 5: Giao thức và cấu trúc dữ liệu kiểm soát bảo mật ứng dụng

Xem Preview Tiêu chuẩn ISO / IEC 27034-3: 2018

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.