この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、かかる特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を 参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。次の URL: www.iso.org/iso/foreword.html
この文書は、ISO/IEC JTC 1 技術委員会、情報技術、分科会 SC 27, it セキュリティ技術によって作成されました。
ISO/IEC 27034 シリーズのすべての部品のリストは、ISO の Web サイトでご覧いただけます。
序章
全般的
組織がアプリケーション レベルでの情報の保護に重点を置く必要性が高まっています。アプリケーションのセキュリティ レベルを高めるための体系的なアプローチは、アプリケーションによって使用または保存されている情報が適切に保護されていることを示す証拠を組織に提供します。
ISO/IEC 27034 (すべての部分) は、組織がアプリケーションのライフサイクル全体を通じてセキュリティをシームレスに統合するのを支援する概念、原則、フレームワーク、コンポーネント、およびプロセスを提供します。
Application Security Control (ASC) は、このドキュメントの重要なコンポーネントの 1 つです。
ISO/IEC 27034 (すべての部分) アプリケーション セキュリティ フレームワークの実装と ASC の通信と交換を促進するには、ASC とフレームワークの他の特定のコンポーネントを実現するための最小限の必須属性セットを文書化し、説明する必要があります。
このドキュメントでは、ASC の必須属性の最小限のセットについて説明し、アプリケーション セキュリティ ライフ サイクル参照モデル (ASLCRM) についてさらに詳しく説明します。
目的
この文書の目的は、ASC の重要な情報とデータ構造要件を文書化して説明することです。 ASC の必須情報属性とデータ構造の標準化されたセットには、次のような利点があります。
- a)この文書の要件に従って正規化された ASC の作成、通信、保護および検証。他の
- b)承認されたコントロールの再利用とさまざまなソースからの ASC の取得を容易にすることで、アプリケーション プロジェクトのセキュリティ コストを最小限に抑えます。」
さらに、このドキュメントでは、アプリケーション セキュリティ ライフ サイクル参照モデルに関係するプロセス、アクティビティ、および役割を定義し、詳細に説明します。
対象読者
全般的
以下の対象者は、指定された組織上の役割を遂行する際に価値と利点を見出します。
- a)マネージャー。
- b) ONF 委員会。
- c)ドメインの専門家。
- d)サプライヤー。他の
- e)買収者。
マネージャー
管理者は次の責任を負うため、この文書を読む必要があります。
- a) ASC が組織内で再利用可能であることを確認する。
- b)組織全体で適切なツールと手順を使用して、アプリケーション プロジェクトで ASC が利用可能、伝達され、使用されるようにします。
- 組織規範枠組み (ONF) 委員会
ONF 委員会は、組織規範フレームワークにおけるアプリケーション セキュリティ関連のコンポーネントとプロセスの実装と保守を管理する責任を負います。 ONF委員会:
- a) ASC ライブラリを実装します。
- b)アプリケーションのセキュリティ リスクを適切に軽減する ASC を承認し、
- c) ASC の実装と維持のコストを管理します。
ドメインの専門家
ドメインの専門家は、アプリケーションのプロビジョニング、運用、または監査に関する知識に貢献します。
- a) ASC の開発、検証、検証に参加する。
- b) ASC を組織の状況に適応させるための戦略、コンポーネント、実装プロセスを提案することにより、ASC の実装と保守に参加する。
- c) ASC がアプリケーション プロジェクトで使用可能で有用であることを検証します。
セキュリティ ツールと ASC サプライヤー
サプライヤーは、ツールや ASC の開発、保守、配布に貢献します。彼ら
- a) ASC の作成、検証、整合性の強制 (署名などの認められた方法による)、配布および適用、および
- b) ASC の共通かつ標準化された交換プロトコル (構造と形式) に準拠する。
セキュリティツールとASCアクワイアラー
取得者は、ASC の取得を希望する個人または組織です。彼ら
- a) ASC を組織に統合し、社内およびサードパーティの ASC の相互運用性を確保します。
- b) ASC を適応させ、その整合性を強制する。
- c)取得した ASC のアクティビティとタスクを組織のアプリケーション ライフサイクルに確実にマッピングできるようにする。
1 スコープ
この文書では、ASC の必須属性の最小限のセットの概要と説明を行い、アプリケーション セキュリティ ライフ サイクル参照モデル (ASLCRM) のアクティビティと役割を詳しく説明します。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27034-1, 情報技術 - セキュリティ技術 - アプリケーション セキュリティ - Part 1: 概要と概念
3 用語と定義
この文書の目的上、ISO/IEC 27034-1 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
アクティビティ
アプリケーションのライフサイクル中にアクターによって実行される一連のアクションまたはタスク
3.2
情報グループレコード
組織が名前、説明、分類値などのラベルを割り当てることができる情報要素のリスト
注記 1:混乱を避けるため、情報グループ名は組織内で一意である必要があります。
3.3
情報要素
名前、説明、ドメイン値によって分類および識別される必要がある情報の一部 (データベース内のフィールドなど)
注記 1:情報グループは、情報要素とみなすことができます。
参考文献
| 1 | ISO/IEC 12207, システムおよびソフトウェアエンジニアリング — ソフトウェアライフサイクルプロセス |
| 2 | ISO/IEC 15288, システムおよびソフトウェア エンジニアリング — システム ライフ サイクル プロセス |
| 3 | ISO/IEC 15489, 情報および文書 — 記録管理 |
| 4 | ISO/IEC 19011, マネジメントシステムの監査に関するガイドライン |
| 5 | ISO/IEC 20000, 情報技術 - サービス管理 |
| 6 | ISO/IEC 27034-2, 情報技術 - セキュリティ技術 - アプリケーション セキュリティ - Part 2: 組織の規範的フレームワーク |
| 7 | ISO/IEC 27034-3, 1情報技術 — セキュリティ技術 — アプリケーション セキュリティ — Part 3: アプリケーション セキュリティ管理プロセス |
| 8 | ISO/IEC 37500, アウトソーシングに関するガイダンス |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, itSecurity techniques.
A list of all parts in the ISO/IEC 27034 series can be found on the ISO website.
Introduction
General
There is an increasing need for organizations to focus on protecting their information at the application level. A systematic approach towards increasing the level of application security provides an organization with evidence that information being used or stored by its applications is being adequately protected.
ISO/IEC 27034 (all parts) provides concepts, principles, frameworks, components and processes to assist organizations in integrating security seamlessly throughout the life cycle of their applications.
The Application Security Control (ASC) is one of the key components of this document.
To facilitate the implementation of ISO/IEC 27034 (all parts) application security framework and the communication and exchange of ASCs, a minimal set of essential attributes should be documented and explained for realizing ASCs and certain other components of the framework.
This document explains the minimal set of essential attributes of ASCs and further details the Application Security Life Cycle Reference Model (ASLCRM).
Purpose
The purpose of this document is to document and explain the essential information and data structure requirements for ASCs. The advantages of a standardized set of essential information attributes and data structure of ASCs include the following:
- a) normalized ASC creation, communication, protection and verification in compliance with the requirements of this document; and
- b) minimized cost of security in application projects by facilitating the reuse of approved controls and acquisition of ASCs from different sources.”
In addition, this document defines and details the processes, activities and roles involved in the Application Security Life Cycle Reference Model.
Targeted audiences
General
The following audiences will find values and benefits when carrying their designated organizational roles:
- a) managers;
- b) ONF committee;
- c) domain experts;
- d) suppliers; and
- e) acquirers.
Managers
Managers should read this document because they are responsible for:
- a) ensuring the ASCs are reusable within the organization, and
- b) ensuring the ASCs are available, communicated and used in application projects with proper tools and procedures all across the organization.
- Organization Normative Framework (ONF) Committee
The ONF Committee is responsible for managing the implementation and maintenance of the application-security-related components and processes in the Organization Normative Framework. The ONF Committee:
- a) implements the ASC Library,
- b) approves ASCs that correctly mitigate application security risks, and
- c) manages the cost of implementing and maintaining the ASCs.
Domain experts
Domain experts contribute knowledge in application provisioning, operating or auditing, who:
- a) participate in ASC development, validation and verification,
- b) participate in ASC implementation and maintenance, by proposing strategies, components and implementation processes for adapting ASCs to the organization's context, and
- c) validate that ASCs are useable and useful in application projects.
Security tools and ASC supplier
Suppliers contribute to develop, maintain and distribute tools and/or ASCs. They
- a) create, validate, enforce integrity (through a recognized method, such as signing), distribute and apply ASCs, and
- b) align with a common and standardized exchange protocol (structure and format) for ASCs.
Security tools and ASC acquirer
Acquires are individuals or organizations who want to acquire ASCs. They
- a) integrate ASCs into their organization and ensure the interoperability of any internal and third-party ASCs,
- b) adapt ASCs and enforce their integrity, and
- c) ensure that the activities and tasks of acquired ASCs can be mapped to the organization’s application lifecycle.
1 Scope
This document outlines and explains the minimal set of essential attributes of ASCs and details the activities and roles of the Application Security Life Cycle Reference Model (ASLCRM).
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27034-1, Information technology — Security techniques — Application security — Part 1: Overview and concepts
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27034-1 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
activity
set of actions or tasks carried out by an actor during the application’s life cycle
3.2
information group record
list of information elements to which an organization can assign labels, such as names, description and categorization values
Note 1 to entry: To avoid confusion, information group name should be unique within the organization.
3.3
information element
piece of information that should be categorized and identified by a name, description, and domain values (e.g. a field in a database)
Note 1 to entry: An information group can be seen as an information element.
Bibliography
| 1 | ISO/IEC 12207, Systems and software engineering — Software life cycle processes |
| 2 | ISO/IEC 15288, Systems and software engineering — System life cycle processes |
| 3 | ISO/IEC 15489, Information and documentation — Records management |
| 4 | ISO/IEC 19011, Guidelines for auditing management systems |
| 5 | ISO/IEC 20000, Information technology — Service management |
| 6 | ISO/IEC 27034-2, Information technology — Security techniques — Application security — Part 2: Organization normative framework |
| 7 | ISO/IEC 27034-3, 1Information technology — Security techniques — Application security — Part 3: Application security management process |
| 8 | ISO/IEC 37500, Guidance on outsourcing |