ГОСТ Р ИСО/МЭК 21827—2010
5 Структура документа
Предпосылки создания документа и основания для его разработки обсуждаются в разделе 4. Архитек
тура модели SSE-CMM® и роль проектирования безопасности систем рассматриваются в разделе 6. Со
ставные области процесса проектирования безопасности и базовые практики подробно рассматриваются в
разделе?. Уровни зрелости функциональных возможностей и общие практики изложены в приложении А.
тогда как в приложении В описаны области организационного процесса и проекта и базовые практики. Кон
цепции модели зрелости функциональных возможностей изложены в приложении С.
6 Архитектура модели
Модель SSE-CMM® представляет собой совокупность лучших практических приемов проектирования
безопасности. Для понимания данной модели требуется исходная информация по этому проектированию.
Данный раздел предлагает высокоуровневое описание проектирования безопасности, а также того, каким
образом архитектура модели отражает это основное понятие.
6.1 Проектирование безопасности
6.1.1 Понятие проектирования безопасности
Стремление к всеобъемлющей взаимосвязи и совместимости сетей, компьютеров, прикладных
программ и даже предприятий непрерывно повышает роль безопасности. Основное внимание к обеспе
чению безопасности сместилось с защиты правительственной информации ограниченного пользования к
области более широкого применения, включая финансовые операции, контракты, персональные данные и
Интернет. В результате необходимо, чтобы потенциальные области, нуждающиеся в защите, рассмат
ривались и определялись для каждого направления использования. Примерами таких областей являют ся
конфиденциальность, целостность, доступность, подотчетность, неприкосновенность частной жизни и
доверие.
Смещение направленности задач обеспечения безопасности повышает значимость проектирова
ния безопасности. Оно становится все более важной дисциплиной и должно превратиться в ключевой
компонент согласованных действий инженерных групп, состоящих из специалистов в разных дисципли
нах. Проектирование безопасности применимо к разработке, интеграции, эксплуатации, управлению и
развитию систем и приложений, а также к разработке, доставке и модернизации продукции. Вопросы
безопасности должны учитываться при определении, руководстве и модернизации безопасности пред
приятий и процессов деловой деятельности. Проектирование безопасности может осуществляться в
системе, продукте или в виде услуги.
6.1.2 Описание проектирования безопасности
Проектирование безопасности является развивающейся дисциплиной. По существу согласие по
точному определению понятия «проектирование» пока не достигнуто. Однако возможно несколько
обобщений. Так. одними из целей проектирования безопасности являются:
- обеспечение понимания рисков безопасности предприятия:
- установление уравновешенной (сбалансированной) совокупности требований безопасности в со
ответствии с идентифицированными рисками;
- преобразование требований безопасности в руководство по безопасности с целью интеграции в
деятельность, относящуюся к другим дисциплинам, участвующим в проекте, и в описание конфигурации
или функционирования системы;
- создание уверенности или доверия к правильности и эффективности механизмов обеспечения
безопасности;
- определение допустимости воздействий на эксплуатацию, обусловленных остаточными уязвимо
стями в системе или в процессе ее эксплуатации (то есть определение остаточных рисков);
- объединение усилий всех инженерных дисциплин с целью общего понимания надежности систе
мы.
6.1.3 Организации, связанные с проектированием мер безопасности
Деятельность по проектированию безопасности практикуется различными типами организаций, та
кими как:
- разработчики;
- продавцы продукции,
- интеграторы;
- покупатели (приобретающая организация или конечный пользователь);
- организации, оценивающие безопасность (органы сертификации систем, оценки продукции и ак
кредитации эксплуатации);
- доверенные третьи стороны (орган сертификации);
- консультирующие организации/провайдеры услуг.
6