ГОСТ Р ИСО/МЭК 21827—2010
6.3.2 Базовые практики
Модель SSE-CMM® состоит из 129 базовых практик, организованных в 22 областях процесса. Из
них 61 базовая практика, организованные в 11 областях процесса, охватывает все главные области про
ектирования безопасности. Остальные 68 практик, организованных в 11 областях процесса, относятся
к доменам проекта и организации. Эти практики были выведены из модели зрелости
функциональных возможностей модели СММ& средств программирования и системного проектирования
и требуются для обеспечения условий и поддержки областей процесса проектирования
безопасности систем. Общие практические приемы обеспечения безопасности были собраны из
большого количества существующих материалов, результатов практической деятельности и
практического опыта. Выбранные практические приемы протестированы и отражают имеющийся
передовой опыт организаций, занимающихся проекти рованием безопасности.
Определение базовых практик проектирования безопасности осложняется наличием многих раз
личных названий действий, которые по существу одинаковы. Некоторые из этих действий применяются
позднее в жизненном цикле на разном уровне абстракции или обычно выполняются лицами на различ
ных должностях. Однако нельзя считать, что организация получила базовую практику, если она приме
няется только на этапе проектирования или на одном уровне абстракции. Следовательно, модель SSE-
СММ® игнорирует эти различия и определяет основной набор практических приемов, которые необходи
мы в деятельности по качественному проектированию безопасности.
Базовая практика:
- применяется в течение жизненного цикла предприятия;
- не накладывается на другие базовые практики;
- представляет собой «передовой опыт» по обеспечению безопасности:
- не является простым отражением самой современной технологии;
- применяется множественными методами в многочисленных, связанных с деятельностью ситуаци
ях;
- не обозначает конкретный метод или инструмент.
Базовые практики были организованы в области процесса таким образом, чтобы они соответствали
широкому спектру организаций, занимающихся проектированием безопасности. Существует много спо
собов разделить домен проектирования безопасности на области процесса. Кто-то может попытаться
смоделировать реальную обстановку, создавая области процесса, согласующиеся с услугами по проек
тированию безопасности. В других стратегиях делается попытка идентифицировать концептуальные зо
ны. образующие стандартные блоки проектирования безопасности. Модель SSE-CMM® создает ком
промисс между этими разными целями в текущей совокупности областей процесса.
Каждая область процесса имеет ряд целей, которые представляют собой предполагаемое состоя
ние организации, успешно выполняющей базовые практики области процесса. Организация, выполняю
щая базовые практики области процесса, также должна добиваться этих целей.
Область процесса:
- объединяет родственные действия в одной части для удобства использования;
- связана с важными услугами по проектированию безопасности;
- может реализовываться во многих контекстах организаций и продуктов;
- может усовершенствоваться как отдельный процесс;
- может усовершенствоваться группой с аналогичной заинтересованностью в процессе:
- включает в себя все базовые практики, которые требуются для выполнения целей данной облас
ти процесса.
Ниже приведены одиннадцать частей процессов модели SSE-CMM® проектирования безопасности
систем. Следует отметить, что они перечислены в алфавитном порядке во избежание представления о
том. что области процесса упорядочены по этапам или областям жизненного цикла. Эти области про
цесса (РА) и определяющие их базовые практики (ВР) изложены в разделе 7 и перечислены ниже:
- РА01 управляет средствами защиты;
- РА02 оценивает воздействие;
- РАОЗ оценивает риск безопасности;
- РА04 оценивает угрозу:
- РА05 оценивает уязвимость:
- РА06 формирует аргумент доверия;
- РА07 координирует задачи безопасности;
- РА08 проводит мониторинг состояния безопасности;
- РА09 предоставляет входные данные по безопасности;
- РА10 обозначает потребности в безопасности;
13