Организации должны защищать свою информацию и технологическую инфраструктуру для того, чтобы остаться в бизнесе. Традиционно это было адресовано на уровне ИТ путем защиты периметра и таких технологических компонентов инфраструктуры, как компьютеры и сети, которых, как правило, недостаточно.

Кроме того, организации все чаще защищаются на уровне управления с помощью, операционно-формализованной, протестированной и проверенной системы управления информационной безопасностью (СУИБ). Системный подход способствует созданию эффективной системы управления информационной безопасностью в соответствии с ISO/IEC 27001.

Тем не менее, организации сталкиваются с постоянно растущей необходимостью защиты их информации на уровне приложений.

Заявки должны быть защищены от уязвимостей, которые могут быть присущи самому (например, дефекты программного обеспечения) приложения, появляются в процессе жизненного цикла приложения (например, путем внесения изменений в приложения), или возникают из-за использования приложения в контексте для которых она не предназначена.

Системный подход к повышению безопасности приложений свидетельствует о том, что информация, которая используется или сохраняемую приложениями организации надлежащим образом защищена.

Приложения могут быть приобретены за счет внутреннего развития, аутсорсинг или покупки коммерческого продукта. Приложения также могут быть получены за счет сочетания этих подходов, которые могли бы ввести новые последствия для безопасности, которые следует учитывать и управлять ими.

Примеры применения являются системой человеческих ресурсов, финансовых систем, систем обработки текстов, системы управления отношениями с клиентами, межсетевые экраны, антивирусные системы и системы обнаружения вторжений.

Демо – версия документа

СТ РК ISO/IEC 27034-1-2016 «Информационные технологии. Методы обеспечения защиты. Защита приложений. Часть 1. Обзор и понятия»

Подтвердите, что вы не робот