¿Cuál es el estándar ISO que ayuda a las entidades a implementar procesos de seguridad, conceptos en el campo de la seguridad de la aplicación?
Está buscando la ISO / IEC 27034-1: 2011 . El público objetivo es:
Las siguientes audiencias se beneficiarán de ISO / IEC 27034 mientras desempeñan sus funciones organizativas designadas:
a) gerentes;
b) equipos de aprovisionamiento y operación; c) personal de adquisiciones; d) proveedores; y
e) auditores
Para entender para qué sirve realmente esta norma, lea la siguiente cita:
El propósito de ISO / IEC 27034 es ayudar a las organizaciones a integrar la seguridad sin problemas durante todo el ciclo de vida de sus aplicaciones al:
a) que proporciona conceptos, principios, marcos, componentes y procesos;
b) proporcionar mecanismos orientados a procesos para establecer requisitos de seguridad, evaluar riesgos de seguridad, asignar un nivel de confianza específico y seleccionar los controles de seguridad y las medidas de verificación correspondientes ; c) proporcionar pautas para establecer criterios de aceptación para organizaciones que subcontratan el desarrollo u operación de aplicaciones, y para organizaciones que compran de aplicaciones de terceros; d) proporcionar mecanismos orientados a los procesos para determinar, generar y recopilar la evidencia necesaria para demostrar que sus aplicaciones se pueden usar de manera segura en un entorno definido ; e) respaldar los conceptos generales especificados en ISO / IEC 27001 y asistir con la implementación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos; y
f) proporciona un marco que ayuda a implementar los controles de seguridad especificados en ISO / IEC 27002 y otras normas .ISO / IEC 27034:
a) se aplica al software subyacente de una aplicación y a los factores que contribuyen a su seguridad, como los datos, la tecnología, los procesos del ciclo de vida del desarrollo de aplicaciones, los procesos de soporte y los actores; y
b) se aplica a todos los tamaños y todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) expuestas a los riesgos asociados con las aplicaciones.
Pero:
ISO / IEC 27034 no hace:
a) proporciona pautas para la seguridad física y de la red;
b) proporcionar controles o mediciones; o
c) proporcionar especificaciones de codificación seguras para cualquier lenguaje de programación.
Todos los controles se pueden encontrar en ISO / IEC 27002 y otras normas. Lea más sobre esto en ISO / IEC 27000 y 27001.
Todas las citas están tomadas de: ISO / IEC 27034-1: 2011 (en) Tecnología de la información - Técnicas de seguridad - Seguridad de la aplicación.
Lea otras preguntas en las etiquetas iso27000