この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質に関する説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、次を参照してください。次の URL: www.iso.org/iso/foreword.html
このドキュメントは、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, IT セキュリティ技術によって作成されました。
ISO/IEC 27034 シリーズのすべての部品のリストは、ISO Web サイトにあります。
序章
0.1 一般
組織がアプリケーション レベルでの情報の保護に注力する必要性が高まっています。アプリケーション セキュリティのレベルを上げるための体系的なアプローチは、アプリケーションによって使用または保存されている情報が適切に保護されているという証拠を組織に提供します。
ISO/IEC 27034 (すべての部分) は、概念、原則、フレームワーク、コンポーネント、およびプロセスを提供し、組織がアプリケーションのライフサイクル全体にわたってセキュリティをシームレスに統合するのを支援します。
Application Security Control (ASC) は、ISO/IEC 27034 (すべての部分) の主要コンポーネントの 1 つです。 ISO/IEC 27034 (すべての部分) アプリケーション セキュリティ フレームワークの実装と、ASC の通信と交換を容易にするために、正式に定義された交換フォーマットが必要です。
このドキュメントは技術仕様書であり、ASC の必須属性の XML スキーマを定義し、アプリケーション セキュリティ ライフ サイクル参照モデルをさらに詳しく説明します。
0.2 目的
このドキュメントの目的は、ASC およびアプリケーション セキュリティ ライフサイクル参照モデル (ASLCRM) に不可欠な情報とデータ構造の要件を実装する XML スキーマを定義することです。 ASC の基本的な情報属性とデータ構造の標準化されたセットには、次のような利点があります。
- a)アプリケーションセキュリティコントロール (ASC) の交換を容易にする;
- b)ツール ベンダー、ASC サプライヤー、および取得者に正式に定義された参照モデルを提供する。
0.3 対象者
0.3.1 一般
次の対象者は、指定された組織の役割を担うときに価値と利点を見つけます。
- a)マネージャー;
- b) ONF 委員会;
- c)ドメインの専門家;
- d)サプライヤー;
- e)取得者。
0 .3.2 マネージャー
管理者は、次の責任を負うため、このドキュメントを読む必要があります。
- a) ASC が組織内で再利用可能であることを保証する。他の
- b)組織全体で適切なツールと手順を使用して、ASC を利用可能にし、伝達し、適用プロジェクトで使用できるようにする。
0.3.3 ONF委員会
ONF 委員会は、組織規範フレームワークのアプリケーション セキュリティ関連のコンポーネントとプロセスの実装と保守を管理する責任があります。 ONF 委員会は、次のことを行う必要があります。
- a) ASC ライブラリを実装する。
- b)アプリケーションのセキュリティ リスクを正しく軽減する ASC を承認する。他の
- c) ASC の実施と維持のコストを管理する。
0.3.4 ドメインの専門家
ドメイン エキスパートは、アプリケーションのプロビジョニング、運用、または監査に関する知識を提供します。
- a) ASC の開発、検証、検証に参加する。
- b) ASC を組織の状況に適応させるための戦略、構成要素、および実施プロセスを提案することにより、ASC の実施と維持に参加する。他の
- c)アプリケーション プロジェクトで ASC が使用可能で有用であることを検証します。
0.3.5 ASC サプライヤー
サプライヤーは、ツールや ASC の開発、維持、配布に貢献します。次のことを行う必要があります。
- a) ASC の作成、検証、署名、配布、および適用。他の
- b) ASC の共通の標準化された交換プロトコル (構造とフォーマット) に準拠する。
0.3.6 ASC 取得者
取得者は、ASC の取得を希望する個人または組織です。次のことを行う必要があります。
- a) ASC を組織に統合し、内部およびサードパーティの ASC の相互運用性を確保する。
- b) ASC の整合性を強化するために ASC を適合させて署名する。他の
- c)取得した ASC の活動とタスクを組織のアプリケーション ライフサイクルにマッピングできるようにする。
1 スコープ
このドキュメントでは、ASC の最小限の情報要件セットと必須属性、および ISO/IEC 27034-5 のアプリケーション セキュリティ ライフ サイクル参照モデル (ASLCRM) の活動と役割を実装する XML スキーマを定義します。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、テキスト内で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27034-1, 情報技術 — セキュリティ技術 — アプリケーション セキュリティ — 1: 概要と概念
- ISO/IEC 27034-5, 情報技術 — セキュリティ技術 — アプリケーション セキュリティ — 5: プロトコルとアプリケーションのセキュリティ制御データ構造
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27034-1 および以下に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
アクティビティ
アプリケーションのライフサイクル中にアクターによって実行されるアクションまたはタスクのセット
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
A list of all parts in the ISO/IEC 27034 series can be found on the ISO website.
Introduction
0.1 General
There is an increasing need for organizations to focus on protecting their information at the application level. A systematic approach towards increasing the level of application security provides an organization with evidence that information being used or stored by its applications is being adequately protected.
ISO/IEC 27034 (all parts) provides concepts, principles, frameworks, components and processes to assist organizations in integrating security seamlessly throughout the life cycle of their applications.
The Application Security Control (ASC) is one of the key components of ISO/IEC 27034 (all parts). To facilitate the implementation of the ISO/IEC 27034 (all parts) application security framework and the communication and exchange of ASCs, a formally defined exchange format is required.
This documents is a Technical Specification document and defines XML Schemas of essential attributes of ASCs and further details the Application Security Life Cycle Reference Model.
0.2 Purpose
The purpose of this document is to define XML schemas that implement the essential information and data structure requirements for ASCs as well as the Application Security Lifecycle Reference Model (ASLCRM). The advantages of a standardized set of essential information attributes and data structure of ASCs include the following:
- a) facilitate the exchange of application security controls (ASCs);
- b) provide a formally defined reference model for tool vendors, ASC suppliers and acquirers.
0.3 Targeted audiences
0.3.1 General
The following audiences will find values and benefits when carrying their designated organizational roles:
- a) managers;
- b) ONF committee;
- c) domain experts;
- d) suppliers;
- e) acquirers.
0 .3.2Managers
Managers should read this document because they are responsible for:
- a) ensuring the ASCs are reusable within the organization; and
- b) ensuring the ASCs are available, communicated and used in application projects with proper tools and procedures all across the organization.
0.3.3 ONF Committee
The ONF Committee is responsible for managing the implementation and maintenance of the application-security-related components and processes in the Organization Normative Framework. The ONF Committee needs to:
- a) implement the ASC Library;
- b) approve ASCs that correctly mitigate application security risks; and
- c) manage the cost of implementing and maintaining the ASCs.
0.3.4 Domain experts
Domain experts contribute knowledge in application provisioning, operating or auditing, who need to:
- a) participate in ASC development, validation and verification;
- b) participate in ASC implementation and maintenance, by proposing strategies, components and implementation processes for adapting ASCs to the organization's context; and
- c) validate that ASCs are useable and useful in application projects.
0.3.5 ASC suppliers
Suppliers contribute to develop, maintain and distribute tools and/or ASCs. They need to:
- a) create, validate, sign, distribute and apply ASCs; and
- b) be aligned with a common and standardized exchange protocol (structure and format) for ASCs.
0.3.6 ASC acquirers
Acquires are individuals or organizations who want to acquire ASCs. They need to:
- a) integrate ASCs into their organization and ensure the interoperability of any internal and third-party ASCs;
- b) adapt and sign ASCs to enforce their integrity; and
- c) ensure that the activities and tasks of acquired ASCs can be mapped to the organization’s application lifecycle.
1 Scope
This document defines XML Schemas that implement the minimal set of information requirements and essential attributes of ASCs and the activities and roles of the Application Security Life Cycle Reference Model (ASLCRM) from ISO/IEC 27034-5.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27034-1, Information technology — Security techniques — Application security — 1: Overview and concepts
- ISO/IEC 27034-5, Information technology — Security techniques — Application security — 5: Protocols and application security control data structure
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27034-1 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
activity
set of actions or tasks carried out by an actor during the application’s lifecycle