ГОСТ Р ИСО/МЭК 21827—2010
1 Адаптировано с ИСО/МЭК 15288:2002.
2 Толкование значения слова «система» часто упрощается использованием связанных с ним суще
ствительных или прилагательных (например «система продуктов», «авиационная система»), В качестве
альтернативы слово «система» можно заменить зависящим от контекста синонимом (например «про
дукт», «самолет»), хотя в будущем это может исказить первоначальный смысл этой фразы.
3 Для удовлетворения различным требованиям во время ее жизненного цикла системе могут по
требоваться другие системы. Например, автоматизированной системе может потребоваться система
концептуализации, разработки, изготовления, эксплуатации, поддержки и удаления.
3.34 угроза (threat): Потенциальные возможности, намерения и методы атаки противника, другое
обстоятельство или событие, возникнувшие внутри или вовне организации, которые могут нанести
ущерб информации, программе или системе или заставить их причинить ущерб другой информации,
программе или системе.
3.35 носитель угрозы (threat agent): Источник и/или инициатор преднамеренных или случайных
исходящих от человека угроз.
3.36 проверка достоверности (validation): Подтверждение выполнения установленных требований
к конкретному использованию по назначению посредством проверки и предоставление объективных до
казательств.
П р и м е ч а н и е - Адаптировано с ИСО/МЭК 15288:2002.
3.37 верификация (verification): Подтверждение путем проверки и предоставление объективных
доказательств выполнения установленных требований.
П р и м е ч а н и е - Адаптировано с ИСО/МЭК 15288:2002:2002.
3.38 уязвимость (vulnerability): Слабое место актива или группы активов, которое может быть под
вержено воздействию угрозы.
3.39 рабочий продукт (work product): Артефакт, связанный с выполнением процесса.
[ИСО/МЭК 15504-1:2004)
П р и м е ч а н и е - Рабочий продукт может использоваться, производиться или изменяться про
цессом.
4 Вводная информация
В модели зрелости функциональных возможностей проектирования безопасности систем (SSE-
СММФ) представлены необходимые характеристики процесса проектирования безопасности организа
ции. которые должны обеспечивать высокое качество проектирования безопасности.
SSE-CMM® не предписывает каких-либо конкретных процессов или последовательности действий,
а представляет собой совокупность практических приемов, в основном применяемых в промышленно
сти. Эта модель является стандартной для практического проектирования систем безопасности, охваты
вающих:
- весь жизненный цикл системы безопасности, включающий в себя действия по разработке, экс
плуатации, обслуживанию и выводу из эксплуатации;
- управленческую, организационную и конструкторскую деятельность организации;
- одновременные (параллельные) взаимодействия с другими дисциплинами, такими как система,
программное обеспечение, человеческий фактор и испытательная техника, управление, эксплуатация и
обслуживание системы;
- взаимодействие с другими организациями, включая приобретение, менеджмент систем, сертифи
кацию, аттестацию и оценивание.
В описании SSE-CMM& представлено общее изложение принципов и архитектуры, на которых она
основана, общий вид модели, предложения по ее надлежащему применению, практические приемы,
включенные в модель, и описание атрибутов модели. В описании также содержатся требования, исполь
зуемые для разработки модели. Оценочный метод SSE-CMM® описывает процесс и инструменты оце
нивания возможностей организации по проектированию системы безопасности и сопоставления с SSE-
СММФ.
4.1 Основание для разработки
Как заказчики, так и поставщики заинтересованы в совершенствовании разработки продуктов, сис
тем и услуг в области безопасности. В области проектирования безопасности содержатся несколько об
щепринятых принципов, но в настоящее время в ней отсутствует комплексная основа оценивания прак
тических приемов проектирования безопасности. Определяя подобную основу. SSE-CMM® предостав
ляет способ измерения и улучшения эффективности применения принципов проектирования безопасно
сти.
Необходимо подчеркнуть, что проектирование безопасности является уникальной дисциплиной,
требующей уникальных знаний, навыков и процессов, гарантирующих разработку особой SSE-CMM®
для проектирования безопасности. Это не противоречит исходному условию, что проектирование безо
пасности осуществляется в контексте системного проектирования. Фактически, четко определенная и
4