/

ISO/IEC 27034-3:2018 情報技術—アプリケーションセキュリティ—パート3:アプリケーションセキュリティ管理プロセス | ページ 3

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

導入

0.1 一般

エンジニアリング ライフサイクル全体にわたってセキュリティ制御を統合する体系的なアプローチにより、アプリケーションによって使用または保存されている情報が適切に保護されていることを示す証拠が組織に提供されます。

ISO/IEC 27034 シリーズは、組織レベルとアプリケーション レベルを対象としたフレームワークとプロセスを提供することで、組織がアプリケーションのライフサイクル全体にわたってセキュリティを統合できるように支援します。

この文書は、組織によって重要な情報を処理すると特定されたアプリケーションのセキュリティを管理するために必要なプロセスを定義します。

表 1 — ISO/IEC 27034 フレームワークの概要

範囲ISO/IEC 27034 フレームワークそれが表すもの
組織組織規範フレームワーク (ONF)アプリケーションセキュリティ情報の 1 つの集中リポジトリ
ONF管理プロセスONFを維持し、継続的に改善するためのプロセスが整備されている
応用アプリケーション規範フレームワーク (ANF)アプリケーションのすべての ASC のリポジトリ
アプリケーションセキュリティ管理プロセスANF を使用してアプリケーションを構築および検証するリスクベースのプロセス

表 1 に示すように、組織レベルのフレームワークとプロセスは、組織規範フレームワーク (ONF) によって提供されます。 ONF, その要素、サポートプロセスは ISO/IEC 27034-2 で定義されています。

アプリケーション レベルのフレームワークとプロセスは、この文書の第 5, 6, および 7 項で提供されます。アプリケーション セキュリティ管理プロセス (ASMP) は、プロジェクト チームが ONF の関連部分を特定のアプリケーション プロジェクトに適用し、結果の証拠を正式に記録するのに役立ちます。アプリケーション規範フレームワーク (ANF)

アプリケーションの要件と環境を決定するプロセスは 6.1 ~ 6.5 に含まれます。 6.1 項では、アプリケーションの要件とその環境の特定に取り組み、アプリケーションのセキュリティ リスクを評価します。アプリケーションの目標信頼レベルの評価は 6.2 で扱われ、ANF とアプリケーション セキュリティ コントロール (ASC) の作成と維持は 6.3 で扱われ、アプリケーションの実現と運用に関連するプロセスは 6.4 で扱われます。最後に、6.5 では、ANF と ASC が適切に実装されていることを検証するプロセスが提供されます。

0.2 目的

この文書の目的は、アプリケーション セキュリティ管理プロセスとアプリケーション規範フレームワークの要件とガイダンスを提供することです。

0.3 対象読者

0.3.1 一般

このドキュメントは一般向けにベスト プラクティスを提供しますが、特に次のような場合に役立ちます。

  • a)マネージャー。
  • b)プロビジョニングおよび運用チーム。
  • c)買収者。
  • d)サプライヤー。
  • e)監査人。
  • f)ユーザー。

0.3.2 マネージャー

マネージャーは、アプリケーションの管理に関与する人です。マネージャーの例は次のとおりです。

  • a)最高情報セキュリティ責任者 (CISO) を含む情報セキュリティ管理者。
  • b)プロジェクトマネージャー。
  • c)製品ラインマネージャー。
  • d)開発マネージャー。
  • e)アプリケーション所有者。
  • f)従業員を監督する最高情報責任者 (CIO) を含むラインマネージャー。

通常、管理者は次のことを行う必要があります。

  • a)アプリケーションのプロジェクト、取り組み、またはプロセスがリスク管理の結果に基づいていることを確認します。
  • b)適用される情報セキュリティ ポリシーおよび手順の要求に従って、特定の適切な情報セキュリティ クリアランスが実施されていることを確認します。
  • c)安全なアプリケーションの実装を管理する。
  • d)すべての関係者にセキュリティ意識の向上、トレーニング、監視を提供する。
  • e)アプリケーションのセキュリティの実装および維持にかかるコストと、それが組織にもたらすリスクおよび価値のバランスを取る。
  • f)アプリケーションの規制状況に応じて、規格、法律、規制への準拠を確保する。
  • g)アプリケーションのセキュリティ ポリシーと手順を確実に文書化する。
  • h)組織のネットワーク全体にわたるすべてのアプリケーション関連のセキュリティ計画を常に把握する。
  • i)どのセキュリティ管理と対応する検証測定を実装およびテストする必要があるかを決定します。
  • j)組織に固有のコンテキストに従って、目標とする信頼レベルを認可する。
  • k)セキュリティの弱点や脅威がないかアプリケーションを定期的にレビューし、修正および予防措置を講じます。
  • l)必要なアプリケーションセキュリティ制御の適切な実装に基づいて、アプリケーションの受諾または拒否を推奨する監査報告書をレビューする。
  • m)安全なコーディングの実践を通じてセキュリティ上の欠陥が確実に防止されるようにする。
  • n)知識ベースの記録から得られた教訓に基づいて意思決定を行う。

0.3.3 プロビジョニングおよび運用チーム

プロビジョニングおよび運用チーム (総称してプロジェクト チームまたはアプリケーション チームと呼ばれます) のメンバーは、アプリケーションのライフサイクル全体を通じて、アプリケーションの設計、開発、保守に携わる人々です。プロビジョニングおよび運用チームの役割の例は次のとおりです。

  • a)建築家。
  • b)アナリスト。
  • c)プログラマー。
  • d)テスター。
  • e)システム管理者、データベース管理者、ネットワーク管理者、アプリケーション管理者などの IT 管理者。

通常、メンバーは次のことを行う必要があります。

  • a)アプリケーションのライフサイクルの各段階でどのアプリケーション セキュリティ制御を適用する必要があるのか​​、またその理由を理解する。
  • b)アプリケーション自体にどのコントロールを実装する必要があるかを理解します。
  • c)アプリケーションのライフサイクル内の開発、テスト、および文書化の活動に制御を導入した場合の影響を最小限に抑える。
  • d)導入された管理が要件を満たしていることを確認します。
  • e)開発、テスト、文書化を合理化するためのツールとベスト プラクティスへのアクセスを取得します。
  • f)査読を促進する。
  • g)買収計画と戦略に参加する。
  • h)作業完了後の残存物の処分を手配します(例:財産管理/処分)。

0.3.4 取得者

これには、製品またはサービスの購入に関与するすべての関係者が含まれます。

通常、買収者は次のことを行う必要があります。

  • a)必要な商品やサービスを入手するためのビジネス関係を確立する (たとえば、契約の勧誘、評価、授与など)
  • b)セキュリティ管理の要件を含む提案依頼書を作成する。
  • c)かかる要件を満たすサプライヤーを選択する。
  • d)アウトソーシング サービスによって適用されたセキュリティ管理の証拠を検証する。
  • e)正しく実装されたアプリケーション セキュリティ制御の証拠を検証することによって製品を評価します。

0.3.5 サプライヤー

これには、製品またはサービスの提供に関与するすべての関係者が含まれます。

通常、サプライヤーは次のことを行う必要があります。

  • a)提案依頼からのアプリケーションのセキュリティ要件に準拠する。
  • b)コストへの影響を考慮して、提案に適切なアプリケーション セキュリティ制御を選択します。
  • c)提案された製品またはサービスに必要なセキュリティ管理が正しく実装されていることを示す証拠を提供します。

0.3.6 監査人

監査人は次のことを行う必要がある人です。

  • a)対応する管理の検証測定に含まれる範囲と手順を理解する。
  • b)監査結果が再現可能であることを保証する。
  • c)アプリケーションが目標の信頼レベルに達していることを示す証拠を生成する検証測定のリストを確立する。
  • d) ISO/IEC 27034 (すべての部分) に従って、検証可能な証拠の使用に基づいて標準化された監査プロセスを適用します。

0.3.7 ユーザー

ユーザーとは、次のことを信頼する必要がある人です。

  • a)アプリケーションの使用または展開が安全であるとみなされる。
  • b)アプリケーションは信頼性の高い結果を一貫してタイムリーに生成します。
  • c)コントロールとそれに対応する検証測定が期待どおりに配置され、正しく機能している。

Introduction

0.1 General

A systematic approach to integrate security controls throughout the engineering lifecycle provides an organization with evidence that information being used or stored by its applications is being adequately protected.

The ISO/IEC 27034 series assists organizations in integrating security throughout the life cycle of their applications by providing frameworks and processes scoped at organization and application levels.

This document defines the processes required for managing the security of an application identified as processing critical information by the organization.

Table 1 — ISO/IEC 27034 Framework overview

ScopeISO/IEC 27034 frameworkWhat it represents
OrganizationOrganization Normative Framework (ONF)One centralized repository of application security information
ONF Management processProcess is in place to maintain and continuously improve ONF
ApplicationApplication Normative Framework (ANF)Repository for all ASCs of an application
Application Security Management ProcessA risk based process that uses the ANF to build and validate applications

As shown in Table 1, organization-level framework and process are provided by the Organization Normative Framework (ONF). The ONF, its elements and supporting processes are defined in ISO/IEC 27034-2.

Application-level framework and processes are provided by this document in Clauses 5, 6 and 7. The Application Security Management Process (ASMP) helps a project team apply relevant portions of the ONF to a specific application project and formally record evidence of the outcomes in an Application Normative Framework (ANF).

Processes for determining the application requirements and environment are included in 6.1 to 6.5. Subclause 6.1 addresses the identification of the application requirements and its environment, assessing the application security risks. Evaluating the application's Targeted Level of Trust is addressed in 6.2, creating and maintaining the ANF and Application Security Controls (ASCs) is covered in 6.3, and processes pertaining to realizing and operating the application are included in 6.4. Finally, 6.5 presents a process to verify that the ANF and the ASCs are properly implemented.

0.2 Purpose

The purpose of this document is to provide requirements and guidance for the Application Security Management Process and the Application Normative Framework.

0.3 Targeted audience

0.3.1 General

Although this document provides best practices for a general audience, it is especially useful for the following actors:

  • a) managers;
  • b) provisioning and operation team;
  • c) acquirers;
  • d) suppliers;
  • e) auditors;
  • f) users.

0.3.2 Managers

Managers are persons involved in the management of an application. Examples of managers are:

  • a) information security managers including the Chief Information Security Officer (CISO);
  • b) project managers;
  • c) product line managers;
  • d) development managers;
  • e) application owners;
  • f) line managers including the Chief Information Officer (CIO), who supervise employees.

Typically, managers need to:

  • a) ensure that any application projects, initiatives or processes are based on the results of risk management;
  • b) make sure that certain proper information security clearances are in place as required by applicable information security policies and procedures;
  • c) manage the implementation of a secure application;
  • d) provide security awareness, training and oversight to all actors;
  • e) balance the cost of implementing and maintaining application security against the risks and value it represents for the organization;
  • f) ensure compliance with standards, laws and regulations according to an application’s regulatory context;
  • g) ensure the documentation of security policies and procedures for the application;
  • h) stay abreast of all application-related security plans throughout the organization's network;
  • i) determine which security controls and corresponding verification measurements should be implemented and tested;
  • j) authorize the targeted level of trust according to the context specific to the organization;
  • k) periodically review the applications for security weaknesses and threats and take corrective and preventive actions;
  • l) review auditor reports recommending application acceptance or rejection based on proper implementation of required application security controls;
  • m) ensure that security flaws are prevented through secure coding practices;
  • n) base their decisions on lessons learned derived from knowledge base records.

0.3.3 Provisioning and operation team

Members of provisioning and operation team (known collectively as the project team or as the application team) are persons involved in an application’s design, development and maintenance throughout its whole life cycle. Example provisioning and operations team roles include:

  • a) architects;
  • b) analysts;
  • c) programmers;
  • d) testers;
  • e) IT administrators, such as system administrators, database administrators, network administrators, and application administrators.

Typically, members need to:

  • a) understand which application security controls should be applied at each stage of an application's life cycle and why;
  • b) understand which controls should be implemented in the application itself;
  • c) minimize the impact of introducing controls into the development, test and documentation activities within the application life cycle;
  • d) make sure that introduced controls meet the requirements;
  • e) obtain access to tools and best practices in order to streamline development, testing and documentation;
  • f) facilitate peer review;
  • g) participate in acquisition planning and strategy;
  • h) arrange disposal of residual items after work is completed, (e.g. property management/disposal).

0.3.4 Acquirers

This includes all persons involved in acquiring a product or service.

Typically, acquirers need to:

  • a) establish business relationships to obtain needed goods and services, (e.g. for the solicitation, evaluation and awarding of contracts);
  • b) prepare requests for proposals that include requirements for security controls;
  • c) select suppliers that comply with such requirements;
  • d) verify evidence of security controls applied by outsourcing services;
  • e) evaluate products by verifying evidence of correctly implemented application security controls.

0.3.5 Suppliers

This includes all persons involved in supplying a product or service.

Typically suppliers need to:

  • a) comply to application security requirements from requests for proposals;
  • b) select appropriate application security controls for proposals, with respect to their impact on cost;
  • c) provide evidence that required security controls are implemented correctly in proposed products or services.

0.3.6 Auditors

Auditors are persons who need to:

  • a) understand the scope and procedures involved in verification measurements for the corresponding controls;
  • b) ensure that audit results are repeatable;
  • c) establish a list of verification measurements which generate evidence that an application has reached the Targeted Level of Trust;
  • d) apply standardized audit processes based on the use of verifiable evidence, according to ISO/IEC 27034 (all parts).

0.3.7 Users

Users are persons who need to trust that:

  • a) it is deemed secure to use or deploy an application;
  • b) an application produces reliable results consistently and in a timely manner;
  • c) the controls and their corresponding verification measurements are positioned and functioning correctly as expected.

ISO PDF プレビュー