ГОСТ Р ИСО/МЭК 21827—2010
совокупности определяют проектирование безопасности. Эти практические приемы называются «базо
выми практиками». Структура и содержание этих «базовых практик» обсуждаются ниже.
Величина «возможность» представляет собой практические приемы, демонстрирующие возможно
сти менеджмента и институционализации процесса. Эти практические приемы называются «общими
практиками», поскольку они применяются в широком диапазоне доменов. Общие практики представляют
действия, которые должны осуществляться как часть базовых практик.
Взаимосвязь между базовыми и общими практиками показана на рисунке 5. Существенной частью
проектирования безопасности является идентификация уязвимостей безопасности системы. Это дейст
вие представлено базовой практикой 05.02 «Идентификация уязвимостей безопасности системы».
Одним способом определения способности организации выполнять какие-либо действия является
проверка наличия у нее процесса распределения ресурсов для действий, которые, по ее утверждению,
она выполняет. Эта «характеристика» развитой (зрелой) организации отражена в общей практике
2.1.1 «Распределение ресурсов» модели SSE-CMM®.
Объединение общих и базовых практик обеспечивает способ проверки возможности организации
выполнять определенную деятельность. Здесь заинтересованная сторона может задать вопрос: «ваша
организация выполняет распределение ресурсов для идентификации уязвимостей безопасности систе
мы?». Если ответом является «Да», опрашивающий узнает немного о возможностях организации.
Ответы на все вопросы, возникающие при объединении всех общих практик со всеми базовыми,
дают хорошую картину возможностей проектирования безопасности.
"s’
£
я
1
.
Базовая практика
05.02
- идентифици-^’’
рует уязвимость безопасности системы
-------------------- --------------
---
с
j
O
3
О
5
F
о
*
5
8
.00
(Общая практика’’
2.1
- распреде-
■
/
/
ляет ресурсы
J
Величина
Величина домен" (базовые практики)
Рисунок 5 - Модель, оценивающая каждую область процесса в сопоставлении
с каждым общим признаком
12