Tổng quan

Tiêu chuẩn ISO / IEC 27034-7: 2018

0 Giới thiệu

0.1 Dự đoán cơ bản

Nhóm dự án tuyên bố ứng dụng an toàn khi bằng chứng hỗ trợ chứng minh việc đạt được Mức độ tin cậy mục tiêu ( ISO / IEC 27034-1: 2011 , 0.4.4). Dự đoán bảo mật xảy ra khi nhóm dự án sử dụng bằng chứng hỗ trợ từ phiên bản trước của ứng dụng và đưa ra lý do tại sao bằng chứng hỗ trợ vẫn có giá trị cho ứng dụng tiếp theo. Khung dự đoán bảo mật là quá trình theo đó các tổ chức sử dụng ISO / IEC 27034 (tất cả các phần), thực hiện phân tích rủi ro và lập tài liệu các quyết định được đưa ra, liên quan đến Kiểm soát bảo mật ứng dụng (ASC) được thực hiện trên phiên bản trước của ứng dụng nhưng không được thực hiện trên phiên bản hiện tại. Tất cả những dự đoán như vậy về cơ bản là chủ quan, và tốt nhất chỉ có thể thể hiện một mức độ tự tin.

Ngày nay, các cá nhân và tổ chức đã chuyển niềm tin của họ vào các tuyên bố bảo mật giữa các phiên bản ứng dụng mà không có bất kỳ lý do chính đáng nào hỗ trợ việc chuyển giao này. Đưa ra dự đoán bảo mật cho một ứng dụng tiếp theo mà không có bất kỳ cơ sở lý luận hay biện minh nào, vốn dĩ là một hành vi xấu. Để khắc phục tình trạng này, tài liệu này thiết lập một khuôn khổ bằng cách hệ thống hóa các yêu cầu để đưa ra các dự đoán bảo mật giữa các phiên bản của một ứng dụng.

Tài liệu này tập trung vào các dự đoán hoặc chuyển yêu cầu, liên quan đến các phiên bản tiếp theo của cùng một ứng dụng.

0.2 Mục đích

Mục đích của tài liệu này là để giúp các tổ chức phát triển và sử dụng Luận điểm Bảo mật Ứng dụng Dự đoán (PASR) trong việc phổ biến thông tin liên quan đến các thuộc tính bảo mật của nhiều phiên bản của cùng một ứng dụng bằng cách:

a) cung cấp hướng dẫn bổ sung cho các Ủy ban Khuôn khổ Quy chuẩn Tổ chức (ONF) để họ có thể thiết lập các hướng dẫn thích hợp cho các dự đoán khi nào là và không phù hợp với tổ chức của họ
b) cung cấp kết quả phân tích rủi ro có lý do tại sao những thay đổi trong lần áp dụng tiếp theo là không đáng kể
c) áp dụng cho các dự án ứng dụng đang sử dụng Khung quy chuẩn ứng dụng (ANF)
d) chỉ ra Mức độ Tin cậy Thực tế cho các ứng dụng ban đầu và các ứng dụng tiếp theo
e) chỉ ra Mức độ Tin cậy Dự kiến ​​cho bản gốc, nếu được sử dụng và các ứng dụng tiếp theo
f) cung cấp cơ sở lý do tại sao phân tích rủi ro, dự đoán cho Kiểm soát bảo mật ứng dụng (ASC) riêng lẻ và Mức độ tin cậy thực tế cùng tạo ra Mức độ tin cậy mong đợi
g) xác minh PASR khi đánh giá viên chọn chạy lại hoạt động xác minh ASC tương ứng.

Tài liệu này không cung cấp hướng dẫn về:

a) rủi ro thích hợp là gì và không phải là rủi ro nào
b) thay đổi đáng kể là gì và không phải là gì
c) khi nào chủ sở hữu ứng dụng nên hoặc không nên chấp nhận một rủi ro cụ thể
d) khi nào bên mua nên hoặc không nên chấp nhận Mức độ tin cậy mong đợi

0.3 Đối tượng được nhắm mục tiêu

0.3.1 Yêu cầu chung

Những đối tượng sau đây tìm thấy giá trị và lợi ích khi thực hiện các vai trò tổ chức được chỉ định của họ:

a) các nhà quản lý
b) Ủy ban ONF
c) nhóm dự án
d) các chuyên gia lĩnh vực
e) kiểm toán viên
f) chủ sở hữu ứng dụng
g) những người mua lại

0.3.2 Người quản lý

Vai trò của người quản lý cũng giống như trong ISO / IEC 27034-1: 2011 0.3.1

0.3.3 Ủy ban ONF

Như được mô tả trong ISO / IEC 27034-1: 2011, 3.17 , Ủy ban ONF chịu trách nhiệm quản lý việc triển khai và duy trì các thành phần và quy trình liên quan đến ứng dụng-bảo mật trong Khung quy chuẩn của Tổ chức. Ủy ban ONF:

a) cung cấp các hướng dẫn cho các nhóm dự án về những gì là và không phải là một thay đổi đáng kể
b) đánh giá, và tài liệu, trong ASC, rủi ro của việc lựa chọn PASR thay vì thực hiện hoạt động ASC
c) xem xét từng ASC và xác định xem các dự đoán có được phép hay không và nếu được phép, các dự đoán là phù hợp trong những trường hợp nào
d) tài liệu xác định dự đoán trong mỗi ASC trong ONF
e) tư vấn cho chủ sở hữu ứng dụng, khi thành lập ANF, rủi ro ước tính của việc sử dụng PASR
f) phản hồi các yêu cầu từ các nhóm dự án để sửa đổi các hướng dẫn dự đoán cho ASC cụ thể

0.3.4 Đội ngũ cung cấp và vận hành

Như được mô tả trong ISO / IEC 27034-1: 2011 , 0.3.3, các thành viên của nhóm cung cấp và vận hành (được gọi chung là nhóm dự án) là những cá nhân tham gia vào thiết kế, phát triển và bảo trì của ứng dụng trong toàn bộ vòng đời của nó. Người quản lý dự án chịu trách nhiệm quản lý ANF.

Nhóm dự án:

a) thực hiện phân tích rủi ro về những thay đổi được đề xuất đối với ứng dụng để xác định xem những thay đổi đó có đáng kể hay không
b) tạo PASR (như được định nghĩa trong 3.2 ) cho mỗi ASC mà có một dự đoán
c) tạo báo cáo Mức độ Tin cậy Dự kiến

0.3.5 Chuyên gia miền

Một cá nhân là chuyên gia trong một miền, khu vực hoặc chủ đề cụ thể cung cấp kiến ​​thức hoặc chuyên môn cụ thể cho nhóm dự án. Các chuyên gia này:

a) hỗ trợ nhóm dự án trong việc đánh giá rủi ro chính xác
b) hỗ trợ nhóm dự án đưa ra quyết định nếu những thay đổi đối với ứng dụng là một thay đổi đáng kể

0.3.6 Kiểm toán viên

Như được mô tả trong ISO / IEC 27034-1: 2011 , 0.3.6, đánh giá viên là nhân viên thực hiện các vai trò trong quá trình đánh giá tham gia vào việc xác minh đơn đăng ký.

0.3.7 Chủ sở hữu ứng dụng

Dựa trên định nghĩa trong ISO / IEC 27034-1: 2011, 3.6 , chủ sở hữu ứng dụng là đại diện của tổ chức, người chịu trách nhiệm và chịu trách nhiệm về bảo mật và bảo vệ ứng dụng. Chủ sở hữu ứng dụng đưa ra quyết định cuối cùng về:

a) chấp nhận phân tích rủi ro của nhóm dự án rằng những thay đổi đối với ứng dụng là không đáng kể
b) phê duyệt một tập hợp các ASC mà nhóm dự án tạo ra PASR
c) chấp nhận Mức độ tin cậy mong đợi.

0.3.8 Người mua

Điều này bao gồm tất cả các cá nhân tham gia vào việc mua một sản phẩm hoặc dịch vụ. Người mua:

a) thực hiện các hành động theo ISO / IEC 27034-1: 2011 , 0.3.4
b) đánh giá xem Mức độ Tin cậy Thực tế đối với ứng dụng ban đầu có phù hợp để giảm thiểu rủi ro mà bên mua dự kiến ​​cho các bối cảnh dự kiến ​​mà bên mua sẽ sử dụng ứng dụng hay không
c) đánh giá xem Mức độ Tin cậy Dự kiến ​​cho lần áp dụng tiếp theo có phù hợp để giảm thiểu rủi ro mà bên mua dự kiến ​​cho các bối cảnh dự kiến ​​mà bên mua sẽ sử dụng ứng dụng hay không
d) đánh giá xem cơ sở lý luận thay đổi đối với ứng dụng tiếp theo là không đáng kể và, nếu không phù hợp với cơ sở lý luận, xác định xem có cần xác minh bổ sung hay không

1 Phạm vi

Tài liệu này mô tả các yêu cầu tối thiểu khi các hoạt động bắt buộc được chỉ định bởi Kiểm soát bảo mật ứng dụng (ASC) được thay thế bằng Cơ sở lý luận về bảo mật ứng dụng dự đoán (PASR). ASC được ánh xạ tới PASR xác định Mức độ tin cậy mong đợi cho một ứng dụng tiếp theo. Trong bối cảnh Mức độ tin cậy mong đợi, luôn có một ứng dụng ban đầu trong đó nhóm dự án đã thực hiện các hoạt động của ASC được chỉ định để đạt được Mức độ tin cậy thực tế.

Việc sử dụng Cơ sở lý luận bảo mật ứng dụng dự đoán (PASR), được định nghĩa bởi tài liệu này, có thể áp dụng cho các nhóm dự án có Khung quy chuẩn ứng dụng (ANF) được xác định và ứng dụng gốc có Mức độ tin cậy thực tế.

Các dự đoán liên quan đến tổng hợp nhiều thành phần hoặc lịch sử của nhà phát triển liên quan đến các ứng dụng khác nằm ngoài phạm vi của tài liệu này.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27034-1 Công nghệ thông tin - Kỹ thuật bảo mật - Bảo mật ứng dụng - Phần 1: Tổng quan và khái niệm

Xem Preview Tiêu chuẩn ISO / IEC 27034-7: 2018

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.