Росстандарт: Опубликован ГОСТ Р ИСО/МЭК 27034-7-2020 «Безопасность приложений. Часть 7. Основы прогнозирования доверия»

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в декабрьском 2020 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=12&year=2020 ) выложен стандарт ГОСТ Р ИСО/МЭК 27034-7-2020 «Информационные технологии. Безопасность приложений. Часть 7. Основы прогнозирования доверия» объёмом 36 страниц. Вступает в силу с 01.06.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=229054 .

Стандарт подготовлен Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН) на основе собственного перевода на русский язык международного стандарта ISO/IEC 27034-7:2018 «Информационные технологии – безопасность приложений – Часть 7: Концепция предсказания уверенности в безопасности приложений» (Information technology - Application security - Part 7: Assurance prediction framework, см. https://www.iso.org/standard/66229.html и https://www.iso.org/obp/ui/#!iso:std:66229:en ). Стандарт внесён Техническим комитетом по стандартизации ТК 22 «Информационные технологии».

Во вводной части отмечается:

«Настоящий стандарт устанавливает минимальные требования, при которых действия, определенные мерами по обеспечению безопасности приложения, заменяются прогнозным обоснованием безопасности приложения. Меры обеспечения безопасности приложений (МОБП). сопоставленные с прогнозным обоснованием безопасности приложений (ПОБП), определяют ожидаемый уровень доверия для последующего приложения. В контексте ожидаемого уровня доверия всегда существует исходное приложение, для которого проектная группа выполняла действия с использованием МОБП для достижения фактического уровня доверия.

Использование ПОБП. определенного в настоящем стандарте, применимо для проектных групп, которые имеют определенную нормативную структуру приложений и исходное приложение с фактическим уровнем доверия.

Прогнозы относительно объединения нескольких компонентов или истории разработчика по отношению к другим приложениям выходят за рамки настоящего стандарта.»

Содержание документа следующее:

1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Общие положения по прогнозированию
6. Прогнозы
7. Существенные изменения
8. Уверенность
9. Прогнозное обоснование безопасности приложения
10. Аудит прогнозного обоснования безопасности приложений
11. Верификация прогнозного обоснования безопасности приложения
12. Осуществление прогнозного обоснования безопасности приложения
13. Отчет об ожидаемом уровне доверия
Приложение А (справочное): Вариант обеспечения ожидаемого уровня доверия
Приложение В (справочное): Сравнение мер обеспечения безопасности приложений с прогнозным обоснованием безопасности приложений
Библиография

Мой комментарий: В документе мне не понравился перевод ряда ключевых терминов – вот смотрите:

В оригинале:

3.6 Security claim - specific claim that security properties are present in an application

Мой перевод: 3.6 Утверждение о безопасности (security claim) – конкретное заявление о том, что в приложении обеспечиваются определенные характеристики безопасности

В ГОСТ Р ИСО/МЭК 27034-7-2020:

3.6 Требование безопасности (security claim): Особое (?) утверждение о том, какие свойства безопасности должны присутствовать (!) в приложении.

Как говорится, почувствуйте разницу – между заявлением и требованием. Далее:

В оригинале:

3.5 Predictive security - transfer of confidence in the security claims of the original application to the security claims of the subsequent application

Мой перевод: 3.5 Прогностическая безопасность (predictive security) – перенос уверенности в утверждениях о безопасности первоначального приложения на утверждения о безопасности последующего приложения

В ГОСТ Р ИСО/МЭК 27034-7-2020:

3.5 Прогнозируемая безопасность (predictive security): Доверие к требованиям (!) безопасности для исходного приложения, переносимое на требования безопасности для последующего приложения.

Требования есть требования, так что о каком доверии к требованиям вообще может идти речь? :)

В определении 3.7 термин «обоснование прогноза безопасности приложения» (Prediction Application Security Rationale, PASR) почему-то превратился в «прогнозное обоснование безопасности приложения», что, на мой взгляд, имеет несколько иной смысл.

Также хотелось бы, чтобы переводчики не стеснялись исправлять неудачные выражения, имеющиеся в тексте оригинального документа ИСО/МЭК, с тем, чтобы истребить фразы типа «Ожидаемый уровень доверия включает в себя фактический уровень доверия, который является подмножеством ожидаемого уровня доверия.» (см. последний абзац на стр.4).

В качестве примера юмористического перевода приведу начало п.5.3.2. В ГОСТе написано следующее:

5.3.2 Ожидаемый уровень доверия в нормативной структуре (?!) организации

Группа нормативной структуры организации (НСО) устанавливает методики в отношении того, когда ПОБП подходит для каждой из мер обеспечения безопасности приложений, находящихся в библиотеке МОБП.

Очень понятно, не правда ли? :) А на самом деле в стандарте ИСО сказано следующее:

5.3.2 Ожидаемый уровень доверия во внутренней нормативной базе организации

Комитет по внутренней нормативной базе организации (organisation’s normative framework, ONF) устанавливает правила в отношении того, когда уместно использовать обоснование прогноза для каждой из мер обеспечения безопасности приложения, находящихся в библиотеке таких мер.

Точно так же возникают проблемы с пониманием, что же такое «нормативная структура (!) приложения», которая (см. 5.3.4) «является хранилищем всех данных, связанных с ожидаемым уровнем доверия к приложению.» Я бы термин Application Normative Framework (ANF) перевела бы как-то иначе - например, как «поддерживающая документация на приложение» …

Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=229054