ГОСТ Р ИСО/МЭК 21827—2010
0 Введение
0.1 Общие положения
Многие организации используют проектирование безопасности в разработке компьютерных про
грамм, таких как операционные системы, а также функций обеспечения выполнения требований безо
пасности и управления безопасности. ПО, ПО для обмена данными или прикладных программ.
Следовательно, разработчики продукта, системные интеграторы и даже специалисты в области
безопасности нуждаются в соответствующих методах и практических приемах. Некоторые из этих орга
низаций имеют дело с высокоуровневыми задачами (например, функциональным использованием или
системной архитектурой), другие сосредоточены на низкоуровневых задачах (например, проектировании
или выборе механизма), третьи занимаются и тем. и другим. Организации могут специализироваться на
определенной технологии или конкретной области деятельности (например, в области океанологии).
Модель SSE-CMM® предназначена для всех подобных организаций и случаев применения. При
менение модели SSE-CMM® не подразумевает, что то или иное направление деятельности лучше дру
гого или требуется какое-либо конкретное направление деятельности. Использование модели SSE-
CMM® не должно отрицательно воздействовать на основное направление деловой деятельности кон
кретной организации.
Некоторые способы проектирования безопасности применяются на основе направления деловой
деятельности организации. Кроме того, организации может потребоваться рассмотрение взаимосвязей
между различными практическими приемами в границах модели с целью определения их применимости.
Приведенные ниже примеры демонстрируют способы, какими многие организации могут применять мо
дель SSE-CMM® для разработки программного обеспечения, систем, оборудования или эксплуатации.
Настоящий стандарт связан со стандартами серии ИСО/МЭК 15504. в частности с ИСО/МЭК 15504-
2. поскольку они оба касаются технологического прогресса и оценки развития функциональных возмож
ностей. Однако ИСО/МЭК 15504 сосредоточен конкретно на процессах создания и эксплуатации ПО. то
гда как модель SSE-CMM предназначена для обеспечения безопасности.
Настоящий стандарт особенно тесно связан с новыми версиями ИСО/МЭК 15504, в частности с
ИСО/МЭК 15504-2:2004, и согласуется с его принципами и требованиями.
Провайдеры услуг, связанных с безопасностью
Для определения возможностей технологического процесса (далее просто процесса) организации,
проводящей оценки рисков, применяются несколько групп практических приемов. Для разработки или
интеграции любой системы может потребоваться оценка способности организации определять и анали
зировать уязвимости системы безопасности, а также оценка эксплуатационных воздействий. Для экс
плуатации любой системы может потребоваться оценка способности организации осуществлять монито
ринг состояния безопасности системы, идентификацию, анализ уязвимостей и угроз безопасности, а
также оценка воздействий, возникающих в процессе эксплуатации системы.
Разработчики мер противодействия
Когда группа разработчиков занимается разработкой мер противодействия угрозам безопасности,
возможности технологического процесса организации характеризуются комбинацией практических прие
мов модели SSE-CMM®. Модель содержит практические приемы определения и анализа уязвимостей
безопасности, оценки функциональных воздействий и предоставления входных данных и руководств
другим задействованным группам специалистов (таким, как группа специалистов по программному обес
печению). Группа, предоставляющая услугу по разработке мер противодействия, должна знать взаимо
связи между этими практическими приемами.
Разработчики продукта
Модель SSE-CMM® содержит практические приемы, направленные на обеспечение понимания по
требностей заказчика в области безопасности. Для их определения требуется взаимодействие с заказ
чиком. В случае с продуктом «заказчик» является общим понятием, поскольку продукт разрабатывается
априори независимо от потребностей конкретного заказчика. Если потребуется, в качестве гипотетиче
ского заказчика может использоваться группа маркетинга продукции.
Специалисты - практики по проектированию безопасности признают, что методы ее разработки
столь же разнообразны, как и сами продукты. Однако существуют несколько проблем, связанных с про
дукцией и проектами, о которых известно, что они оказывают воздействие на то, как продукты проекти
руются. изготавливаются, доставляются и обслуживаются. Особое значение для модели SSE-CMM®
имеют:
- тип клиентской базы (продукты, системы или услуги);
- требования доверия (высокие в сравнении с низкими);
IV