1. Главная
  2. Стандарты Молдовы
  3. STM
  4. Ст ISO IEC 27034-3-2018

ISO IEC 27034-3-2018 PDF

Ст ISO IEC 27034-3-2018

Название на английском:
St ISO IEC 27034-3-2018

Название на русском:
Ст ISO IEC 27034-3-2018

Описание на русском:

Оригинальный стандарт ISO IEC 27034-3-2018 в PDF полная версия. Дополнительная инфо + превью по запросу

Описание на английском:
Original standard ISO IEC 27034-3-2018 in PDF full version. Additional info + preview on request
Статус документа:
Действующий
Формат:
Электронный (PDF)
Срок поставки (английская версия):
1 рабочий день
Срок поставки (русская версия):
365 рабочих дня(ей)
Артикул (SKU):
stiso25992
Выберите версию документа:
3 000 руб.

Полное наименование и описание

ISO/IEC 27034-3:2018 — Information technology — Application security — Part 3: Application security management process. Стандарт даёт подробное описание и практические рекомендации по организации процесса управления безопасностью приложений, включая роли, обязанности и взаимодействие с другими процессами управления информационной безопасностью.

Аннотация

Документ описывает процесс управления безопасностью приложений (Application Security Management Process) и предоставляет руководящие указания по внедрению этого процесса в организациях, занимающихся разработкой, внедрением и поддержкой программных приложений. Цель — обеспечить системный подход к снижению рисков безопасности приложений и согласование с существующими системами управления информационной безопасностью.

Общая информация

  • Статус: Опубликован; подтверждён как действующий международный стандарт.
  • Дата публикации: 2018 (май 2018 г.).
  • Организация-издатель: ISO/IEC (разработка — ISO/IEC JTC 1/SC 27).
  • ICS / категории: 35.030 (IT security).
  • Редакция / версия: Издание 1 (2018).
  • Количество страниц: 47 (в базе ISO/IEC; у некоторых национальных издателей возможны незначительные отличия в оформлении и нумерации).

Область применения

Стандарт предназначен для организаций и команд, ответственных за безопасность приложений: владельцев приложений, менеджеров по безопасности, разработчиков, тестировщиков, поставщиков и аудиторских групп. ISO/IEC 27034-3 описывает, как внедрить и поддерживать процесс управления безопасностью приложений, как интегрировать его с жизненным циклом разработки ПО (SDLC) и с общей системой управления информационной безопасностью (ISMS).

Ключевые темы и требования

  • Определение и документирование процесса управления безопасностью приложений.
  • Роли и обязанности (владельцы приложений, владельцы процессов, команды разработки и безопасности).
  • Интеграция с SDLC и ISMS (взаимодействие процедур, обмен информацией о рисках).
  • Идентификация и оценка рисков безопасности приложений; определение мер по обработке рисков.
  • Выбор и внедрение соответствующих мер управления и контролей безопасности для приложений.
  • Валидация, тестирование безопасности и верификация применённых мер (практики контроля качества безопасности).
  • Документирование, мониторинг, улучшение процесса и управление изменениями в контексте безопасности приложений.

Применение и пользователи

Практическое применение стандарта — в корпоративных и государственных ИТ-проектах при разработке, интеграции и сопровождении приложений. Пользователи: CISO и команды безопасности, менеджеры по продукту, разработчики и архитекторы ПО, тестировщики безопасности, поставщики ПО и консалтинговые организации, отвечающие за соответствие и управление рисками.

Связанные стандарты

Является частью серии ISO/IEC 27034 (стандарты по безопасности приложений). Тесно связан с другими документами серии ISO/IEC 27000 (включая ISO/IEC 27001, ISO/IEC 27002 и ISO/IEC 27005) и с частями 1, 2, 4–7 серии 27034, которые рассматривают концептуальные основы, руководящие указания, валидацию и примеры применения.

Ключевые слова

безопасность приложений, управление безопасностью приложений, Application Security Management, SDLC, ISMS, риск-менеджмент, валидация безопасности, контролирование уязвимостей

FAQ

В: Что это за стандарт?

О: Международный стандарт, определяющий процесс управления безопасностью приложений и дающий практические рекомендации по его внедрению и поддержке в организации.

В: Что он регулирует?

О: Руководит организацией процесса управления безопасностью приложений: определением ролей, оценкой и обработкой рисков, выбором мер контроля, валидацией и мониторингом безопасности приложений в рамках жизненного цикла разработки и эксплуатации.

В: Кто обычно использует?

О: Менеджеры по безопасности и владельцы приложений, команды разработки и тестирования, архитекторы ПО, поставщики решений по безопасности и аудиторские группы.

В: Он актуален или заменён?

О: На момент последних записей в реестре стандартов версия 2018 года остаётся действующей; публикация была подтверждена при очередной проверке статуса (подтверждена в 2023 году), то есть стандарт не заменён и остаётся актуальным для практики.

В: Это часть серии?

О: Да — часть серии ISO/IEC 27034 по безопасности приложений; другие части серии дополняют руководящие указания, примеры, протоколы управления и методы валидации.

В: Какие ключевые слова?

О: безопасность приложений, управление рисками, SDLC, ISMS, контроль доступа, валидация безопасности.