ГОСТ Р ИСО/МЭК 21827—2010
общепринятая деятельность по системному проектированию позволит осуществлять на практике проек
тирование безопасности при всех обстоятельствах.
Современное статистическое управление процессом предлагает возможность производства более
качественной продукции более рентабельным образом путем придания особого значения качеству про
цессов их производства и зрелости организационных практических приемов, присущих этим процессам.
Большая эффективность процессов гарантируется при условии увеличения стоимости и времени, необ
ходимых для разработки безопасных систем и высоконадежной продукции. Эксплуатация и обслужива
ние безопасных систем основаны на процессах, объединяющих людей и технологии.
Целью проекта является продвижение проектирования безопасности как определенной, зрелой и
измеряемой дисциплины. SSE-CMM® и оценочные методы разрабатываются с целью обеспечения:
- направленных инвестиций в инструменты проектирования безопасности, обучение, определение
процессов, практические приемы менеджмента и внесение усовершенствований инженерными группами;
- основанного на потенциальных возможностях доверия (то есть кредитоспособности, основанной
на доверии к зрелости практических приемов и процессов обеспечения безопасности, применяемых ин
женерными группами);
- подбора квалифицированных проектировщиков систем безопасности посредством дифференциа
ции претендентов по уровням их потенциальных возможностей и связанных с ними программируемых
рисков.
4.2 Значимость проектирования безопасности
С усилением зависимости общества от информации защита этой информации становится все бо
лее значимой. Для сохранения и защиты информации требуются различные продукты, системы и услуги.
Значимость проектирования безопасности расширилась от использования, связанного в первую очередь с
защитой правительственной информации ограниченного доступа, до более широкого использования,
включающего финансовые операции, контракты, персональную информацию и Интернет. Эта тенденция в
существенной степени повысила значимость проектирования безопасности.
4.3 Согласованность
SSE-CMM® разрабатывалась более чем 50 организациями, многие из которых являются многона
циональными корпорациями. В разработке проекта участвовали представители Австралии. Канады. Ев
ропы и США. Кроме того, проект SSE-CMM® всегда стремился к расширению крута участников путем
использования различных мест проведения мероприятий, включая презентации, и применение выста
вочные стенды, а также веб-сайт
www.sscmm.org
.
Участники были организованы в руководящую группу и несколько рабочих групп. Большая часть
разработки осуществлялась рабочими группами, в то время как руководящая группа отвечала за общий
ход процесса и утверждение отдельных частей проекта.
Модель SSE-CMM® разрабатывалась посредством консенсуса. Все организации-участники могли
посылать своих представителей на заседания рабочих групп и большинство из них именно так и посту
пали. Статьи рассылались электронной почтой другим членам рабочей группы в перерывах между засе
даниями. Заседания проводились ежемесячно и на них обсуждались, пересматривались и согласовыва
лись вносимые предложения. Результаты всех необходимых голосований фиксировались в протоколах
заседаний рабочих групп на каждом заседании. Затем эти документы сохранялись.
Каждая версия модели SSE-CMM& вначале утверждалась рабочей группой, занимающейся разра
боткой. Затем она просматривалась и утверждалась руководящей группой. После этого версия модели
отсылалась группе «главных рецензентов», собранной из представителей сообщества, связанного с
безопасностью ИТ. для проведения анализа и критического разбора. Затем каждая версия публикова
лась для общественного рассмотрения и получения замечаний и предложений. На основе замечаний и
предложений главных рецензентов и сообщества в целом руководящая группа определяла последнюю
редакцию этой версии модели SSE-CMM®.
Модель SSE-CMM® в первый раз утверждалась на уровне рабочей группы, второй раз на уровне
руководящей группы, в третий раз на уровне главных рецензентов и. наконец, на уровне сообщества.
Таким образом, по существу применялись три уровня утверждения.
Дополнительное утверждение и консенсус достигались в ходе проведения контрольных экспертиз
результатов применения модели в различных заданных областях. Рабочая группа альтернативного га
рантирования Проекта Общих Критериев провела анализ модели SSE-CMM& на ее применимость в ка
честве альтернативы получения доверия путем оценивания и представила в проект замечания и пред
ложения. относящиеся к безопасности систем ИТ.
Каждая публикация модели анализировалась группой независимых рецензентов, которые не уча
ствовали в ее разработке. Их замечания были собраны, проанализированы и включены в модель. Нако
нец. каждая версия этого документа подвергалась общественному изучению и критическому анализу на
двух международных семинарах, а полученные замечания были рассмотрены и учтены.
5