Formation ISO/IEC 27034 Application Security Implementer

ISO/IEC 27034 Application Security Implementer

PARTIE 1 – Sécurité des applications : présentation et concepts

La première partie présente un aperçu de la sécurité des applications. Elle présente les définitions, les concepts, les principes et les processus impliqués dans la sécurité des applications.

PARTIE 2 – Sécurité des applications : Cadre normatif de l’organisation

Cette deuxième partie présente une discussion approfondie du cadre normatif de l’organisation, de ses composants et des processus au niveau de l’organisation pour le gérer. Cette partie explique les relations entre ces processus, les activités qui leur sont associées et les moyens par lesquels ils soutiennent le processus de gestion de la sécurité des applications. Elle présente la manière dont une organisation doit mettre en œuvre la norme et l’intégrer dans ses processus existants.

PARTIE 3 – Processus de gestion de la sécurité des applications

Discussion approfondie des processus impliqués dans un projet d’application : détermination des exigences et de l’environnement de l’application, évaluation des risques de sécurité de l’application, création et maintenance du cadre normatif de l’application, réalisation et exploitation de l’application et validation de sa sécurité tout au long de son cycle de vie. Cette partie explique les relations entre ces processus, leurs activités et leurs interdépendances, et comment ils introduisent la sécurité dans un projet d’application. Elle présente comment une organisation doit mettre en œuvre la norme au niveau d’un projet d’application et l’intégrer dans ses processus existants.

PARTIE 4 – Validation de la sécurité des applications

Processus de validation, d’audit et de certification de la sécurité des applications pour les organisations, les applications et les personnes. Cette partie présente ce qui doit être vérifié et audité dans le cadre de la mise en œuvre de ce SI, et comment, à trois (3) niveaux, à savoir :

• 1) Au niveau de l’organisation – où il encadrera et guidera les auditeurs pour valider les objectifs AS de l’organisation et auditer/vérifier la manière dont une organisation se conforme à ses objectifs et critères AS.
• 2) Niveau d’application – où il encadrera et guidera les auditeurs pour mesurer le niveau de confiance réel de l’application et le comparer au niveau de confiance ciblé de l’application précédemment sélectionné par l’organisation, pour certifier cette application comme étant aussi sécurisée que prévu.
• 3) Au niveau des individus – où il encadrera et guidera le développement et la mise en œuvre d’une certification professionnelle ISO/IEC 27034 AS.

PARTIE 5 – Protocoles et structure des données de contrôle de sécurité des applications

La partie 5 présente l’ensemble minimal d’attributs essentiels des ASC et détaille plus en détail le modèle de référence du cycle de vie de la sécurité des applications, afin de faciliter la mise en œuvre du cadre AS 27034 et la communication et l’échange des ASC.

PARTIE 5.1 ​​- Protocoles et structure de données de contrôle de sécurité des applications – Schémas XML

La partie 5 présente et explique un exemple de schémas XML, décrivant les composants Application Security Control (ASC) et Application Security Life Cycle Reference Model (ASLCRM).

PARTIE 6 – Études de cas

La partie 6 fournit des études de cas et des exemples d’ASC adaptés aux exigences de sécurité des applications spécifiques.

PARTIE 7 – Modèle de prédiction de l’assurance de la sécurité des applications

La partie 7 codifie les exigences et le cadre de travail pour la création de déclarations de sécurité prédictives destinées à remplacer l’ASC dans un projet AS lorsque cela est autorisé.

Chaque rubrique apporte des explications sur la manière de traiter chaque aspect de la sécurité des applications. Les plans de sécurité de l’organisation doivent être conformes à la sécurité des applications.