/

ISO/IEC 27034-7:2018 情報技術—アプリケーションセキュリティ—パート7:保証予測フレームワーク | ページ 3

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

0 はじめに

0.1 基本的な予測

プロジェクト チームは、裏付けとなる証拠が目標の信頼レベル (ISO/IEC 27034-1:2011, 0.4.4) の達成を証明する場合、アプリケーションが安全であると宣言します。セキュリティ予測は、プロジェクト チームがアプリケーションの前のバージョンの裏付け証拠を使用し、その裏付け証拠が後続のアプリケーションに対して依然として有効である理由についての根拠を提供するときに発生します。セキュリティ予測フレームワークは、ISO/IEC 27034 (すべての部分) を使用する組織が、以前のバージョンのアプリケーションでは実行されていたが、以前のバージョンでは実行されていなかったアプリケーション セキュリティ コントロール (ASC) に関連してリスク分析を実行し、決定事項を文書化するプロセスです。現行版。このような予測はすべて基本的に主観的なものであり、せいぜいある程度の信頼性を表現することしかできません。

現在、個人や組織はすでに、この移転を裏付ける強力な根拠なしに、アプリケーションのバージョン間でセキュリティ主張に対する信頼を移転しています。何の根拠も正当化もなしに、後続のアプリケーションのセキュリティ予測を行うことは、本質的に悪い習慣です。この状況を修正するために、このドキュメントでは、アプリケーションのバージョン間でセキュリティ予測を行うための要件を成文化することでフレームワークを確立します。

このドキュメントは、同じアプリケーションの後続のバージョンに関連する予測、または請求の転送に焦点を当てています。

0.2 目的

このドキュメントの目的は、組織が次の方法で同じアプリケーションの複数のバージョンのセキュリティ プロパティに関する情報を配布する際に、予測アプリケーション セキュリティ理論 (PASR) を開発および使用できるようにすることです。

  • a)組織規範フレームワーク (ONF) 委員会が組織にとって予測が適切である場合とそうでない場合について適切なガイドラインを設定できるように、追加のガイダンスを提供する。
  • b)後続の出願における変更が実質的ではない理由についての理論的根拠を含むリスク分析の結果を提供する。
  • c) Application Normative Framework (ANF) を使用しているアプリケーション プロジェクトに適用する。
  • d)元のアプリケーションとその後のアプリケーションに対する実際の信頼レベルを示す。
  • e)オリジナルのアプリケーション (使用されている場合) およびその後のアプリケーションに対する期待される信頼レベルを示す。
  • f)リスク分析、個々のアプリケーション セキュリティ コントロール (ASC) の予測、および実際の信頼レベルが組み合わさって期待される信頼レベルが生成される理由についての理論的根拠を提供する。そして
  • g)監査人が対応する ASC 検証アクティビティの再実行を選択した場合の PASR の検証。

この文書では、以下に関するガイドラインは提供されません。

  • a)何が適切なリスクであり、何が適切でないか。
  • b)実質的な変更は何か、そうでないものは何か。
  • c)アプリケーション所有者が特定のリスクを受け入れる必要がある場合、または受け入れるべきでない場合。または
  • d)取得者が期待される信頼レベルを受け入れる必要がある場合、または受け入れるべきでない場合。

0.3 対象読者

0.3.1 一般

次の対象者は、指定された組織上の役割を遂行する際に価値と利点を見出しています。

  • a)マネージャー。
  • b) ONF 委員会。
  • c)プロジェクトチーム。
  • d)ドメインの専門家。
  • e)監査人。
  • f)アプリケーション所有者。そして
  • g)買収者。

0.3.2 マネージャー

マネージャーの役​​割は ISO/IEC 27034-1:2011, 0.3.2 と同じです。

0.3.3 ONF委員会

ISO/IEC 27034-1:2011, 3.17 に記載されているように、ONF 委員会は、組織規範フレームワークにおけるアプリケーション セキュリティ関連のコンポーネントとプロセスの実装と保守を管理する責任を負います。 ONF委員会:

  • a)プロジェクト チームに、実質的な変更とそうでないものに関するガイドラインを提供します。
  • b) ASC 活動を実行するよりも PASR を選択するリスクを評価し、ASC に文書化する。
  • c)各 ASC をレビューし、予測が許可されるかどうか、許可される場合はどのような状況で予測が適切であるかを判断します。
  • d) ONF 内の各 ASC での予測決定を文書化します。
  • e) ANF を確立するときに、PASR を使用する推定リスクをアプリケーション所有者に通知します。そして
  • f)特定の ASC の予測ガイドラインを変更するというプロジェクト チームからの要求に応答します。

0.3.4 プロビジョニングおよび運用チーム

ISO/IEC 27034-1:2011, 0.3.3 に記載されているように、プロビジョニングおよび運用チーム (総称してプロジェクト チームと呼ばれます) のメンバーは、アプリケーションのライフサイクル全体を通じて、アプリケーションの設計、開発、保守に関与する個人です。プロジェクト マネージャーは ANF の管理を担当します。

プロジェクトチーム:

  • a)アプリケーションに対して提案された変更に対してリスク分析を実行し、その変更が実質的なものであるかどうかを判断します。
  • b)予測がある ASC ごとに PASR (3.2 で定義) を作成します。そして
  • c)期待される信頼レベルのレポートを生成します。

0.3.5 ドメインの専門家

プロジェクト チームに特定の知識や専門知識を提供する、特定のドメイン、分野、またはトピックの専門家である個人。これらの専門家は次のとおりです。

  • a)プロジェクト チームが正確なリスク評価を行うのを支援する。そして
  • b)アプリケーションへの変更が実質的な変更であるかどうかを判断するプロジェクト チームを支援します。

0.3.6 監査人

ISO/IEC 27034-1:2011, 0.3.6 に記載されているように、監査人は、アプリケーションの検証に参加する、監査プロセスで役割を遂行する担当者です。

0.3.7 アプリケーション所有者

ISO/IEC 27034-1:2011, 3.6 の定義に基づくと、アプリケーション所有者は、アプリケーションのセキュリティと保護に対して責任を負う組織の代表者です。アプリケーション所有者は次の点について最終決定を行います。

  • a)アプリケーションへの変更が実質的ではないというプロジェクト チームのリスク分析の受け入れ。
  • b)プロジェクト チームが PASR を生成する一連の ASC の承認。そして
  • c)期待される信頼レベルの受け入れ。

0.3.8 取得者

これには、製品またはサービスの購入に関与するすべての個人が含まれます。取得者:

  • a) ISO/IEC 27034-1:2011, 0.3.4 に従ってアクションを実行します。
  • b)元のアプリケーションの実際の信頼レベルが、取得者がアプリケーションを使用する予定のコンテキストに対して取得者が予期するリスクを軽減するのに適切であるかどうかを評価します。
  • c)後続のアプリケーションに対する期待される信頼レベルが、取得者がアプリケーションを使用する予定のコンテキストに対して取得者が予期するリスクを軽減するのに適切であるかどうかを評価します。そして
  • d)その後の出願に対する変更の理論的根拠が実質的でないかどうかを評価し、理論的根拠と一致しない場合は、追加の検証が必要かどうかを決定します。

0 Introduction

0.1 Basic prediction

The project team declares an application secure when the supporting evidence demonstrates the attainment of the Targeted Level of Trust (ISO/IEC 27034-1:2011, 0.4.4). A security prediction occurs when the project team uses the supporting evidence from a previous version of the application and provides a rationale as to why the supporting evidence is still valid for the subsequent application. The security prediction framework is the process whereby organizations, who use ISO/IEC 27034 (all parts), perform risk analysis and document decisions made, relative to Application Security Controls (ASCs) performed on a previous version of an application but not performed on the current version. All such predictions are fundamentally subjective, and at best can only express a degree of confidence.

Today, individuals and organizations already transfer their confidence in security claims between versions of applications without any strong rationale supporting this transfer. Making a security prediction for a subsequent application, without any rationale or justification, is inherently a bad practice. To rectify this situation, this document establishes a framework by codifying requirements for making security predictions between versions of an application.

This document focuses on predictions, or claim transfers, related to subsequent versions of the same application.

0.2 Purpose

The purpose of this document is to help organizations to develop and use Prediction Application Security Rationales (PASR) in disseminating information relative to security properties of multiple versions of the same application by:

  • a) providing additional guidance to Organization Normative Framework (ONF) Committees so that they can set up appropriate guidelines for when predictions are and are not appropriate for their organizations;
  • b) providing the results of a risk analysis that contains the rationale as to why the changes in the subsequent application are not substantial;
  • c) applying to application projects that are using an Application Normative Framework (ANF);
  • d) indicating the Actual Level of Trust for the original and subsequent applications;
  • e) indicating the Expected Level of Trust for the original, if used, and subsequent applications;
  • f) providing the rationale as to why the risk analysis, predictions for individual Application Security Control (ASC), and the Actual Level of Trust together produce the Expected Level of Trust; and
  • g) verifying a PASR when the auditor chooses to rerun the corresponding ASC verification activity.

This document does not provide guidelines on:

  • a) what is and is not an appropriate risk;
  • b) what is and is not substantial change;
  • c) when an application owner should or should not accept a specific risk; or
  • d) when an acquirer should or should not accept an Expected Level of Trust.

0.3 Targeted audience

0.3.1 General

The following audiences find values and benefits when carrying their designated organizational roles:

  • a) managers;
  • b) ONF Committees;
  • c) project teams;
  • d) domain experts;
  • e) auditors;
  • f) application owners; and
  • g) acquirers.

0.3.2 Managers

The manager roles are the same as in ISO/IEC 27034-1:2011, 0.3.2.

0.3.3 ONF Committee

As described in ISO/IEC 27034-1:2011, 3.17, the ONF Committee is responsible for managing the implementation and maintenance of the application-security-related components and processes in the Organization Normative Framework. The ONF Committee:

  • a) provides guidelines to project teams as to what is and is not a substantial change;
  • b) evaluates, and documents, in the ASC, the risk of choosing the PASR over performing the ASC activity;
  • c) reviews each ASC and determines if predictions are allowed and, if allowed, under what circumstances predictions are appropriate;
  • d) documents the prediction determination in each ASC in the ONF;
  • e) advises the application owner, when establishing the ANF, the estimated risk of using the PASR; and
  • f) responds to requests from project teams to modify the prediction guidelines for specific ASC.

0.3.4 Provisioning and operation team

As described in ISO/IEC 27034-1:2011, 0.3.3, members of provisioning and operation teams (known collectively as the project team) are individuals involved in an application’s design, development and maintenance throughout its whole life cycle. The project manager is responsible for managing the ANF.

The project team:

  • a) performs a risk analysis on the proposed changes to the application to determine if the changes are substantial;
  • b) creates the PASR (as defined in 3.2) for each ASC for which there is a prediction; and
  • c) generates the Expected Level of Trust report.

0.3.5 Domain experts

An individual who is an expert in a particular domain, area, or topic that provides specific knowledge or expertise to the project team. These experts:

  • a) assist the project team in making an accurate risk assessment; and
  • b) assist the project team in making the determination if the changes to the application represent a substantial change.

0.3.6 Auditors

As described in ISO/IEC 27034-1:2011, 0.3.6, auditors are personnel performing roles in the audit process who participate in application verification.

0.3.7 Application owners

Based on the definition in ISO/IEC 27034-1:2011, 3.6, the application owner is the organization’s representative who is responsible and accountable for the security and the protection of an application. Application owners make the final decisions on:

  • a) acceptance of the project team risk analysis that the changes to the application are not substantial;
  • b) approval of a set of ASCs for which the project team generates PASRs; and
  • c) acceptance of the Expected Level of Trust.

0.3.8 Acquirers

This includes all individuals involved in acquiring a product or service. Acquirers:

  • a) perform actions as per ISO/IEC 27034-1:2011, 0.3.4;
  • b) evaluate if the Actual Level of Trust for the original application is appropriate to mitigate the risks the acquirer anticipates for the expected contexts the acquirer will use the application in;
  • c) evaluate if the Expected Level of Trust for the subsequent application is appropriate to mitigate the risks the acquirer anticipates for the expected contexts the acquirer will use the application in; and
  • d) evaluate if the rationale that changes to the subsequent application are not substantial and, if not in agreement with the rationale, determine if additional verification is necessary.

ISO PDF プレビュー