ГОСТ Р ИСО/МЭК 21827—2010
- поддержка как разрабатывающих, так и эксплуатационных организаций.
Ниже обсуждаются отличия между двумя разными клиентскими базами, различные степени требо
ваний доверия и воздействия каждого из этих различий в модели SSE-CMM®. Они представлены в каче
стве примера того, как организация или отрасль промышленности может определить, соответствует ли
SSE-CMM® условиями конкретной окружающей среды.
Специфика отраслей промышленности
Каждая отрасль промышленности имеет свою особую культуру, терминологию и стиль общения.
Минимизируя различия между должностями и последствия несовершенства структуры организации,
ожидается, что концепции SSE-CMM® могут быть легко преобразованы любыми отраслями промышлен
ности для своих нужд и внедрены в информационную систему.
0.2 Как следует использовать SSE-СММф
Модель SSE-CMM® и метод ее применения (то есть оценочный метод) предназначены для исполь
зования в качестве:
- инструмента проектных организаций для оценки практических приемов проектирования безопас
ности и определения улучшений:
- метода, посредством которого организации, оценивающие проектирование безопасности, такие
как органы сертификации и экспертные организации по оценке, могут упрочить доверие к ее потенци
альным возможностям в качестве вклада в формирование доверия к безопасности продукта или систе
мы:
- стандартного механизма оценки клиентами возможностей проектирования безопасности провай
дером.
Область оценки должна определяться оценивающей организацией и. если это необходимо, обсуж
даться с экспертом по оценке.
Методы оценки могут использоваться организацией при применении модели в целях самосовер
шенствования и выборе поставщиков, если пользователи модели и оценочных методов в достаточной
мере осведомлены о надлежащем применении модели и присущих ей ограничениях. Дополнительная
информация по использованию оценки технологических процессов содержится в ИСО/МЭК 15504-4:2004
«Информационная технология-Оценка технологических процессов - Часть 4: Руководство по примене
нию для усовершенствования процессов и определения функциональных возможностей процессов».
0.3 Преимущества применения SSE-СММф
Общей тенденцией обеспечения безопасности является переход от защиты правительственной
информации к более широкому спектру задач, включая защиту финансовых операций, контрактов, пер
сональных данных и Интернета. Эта тенденция привела к соответствующему распространению продук
ции. систем и услуг, сохраняющих и защищающих информацию. Продукция и системы обеспечения
безопасности обычно поступают на рынок двумя путями: через длительное и дорогостоящее оценивание и
без него. В первом случае надежная продукция часто попадает на рынок уже после снабжения ее сис
темами безопасности, когда текущие угрозы для нее уже не страшны. Во втором случае приобретающая
сторона и пользователи должны полагаться исключительно на утверждения разработчика или операто
ра о безопасности продукта или системы. Более того, услуги по проектированию безопасности по сло
жившейся традиции часто предоставлялись на основе принципа «пусть покупатель будет бдителен».
Данная ситуация требует от организации более продуманного проектирования безопасности. В ча
стности. для производства и эксплуатации систем безопасности и надежной продукции необходимы сле
дующие качества:
- непрерывность - знания, полученные в ходе предшествующей деятельности, используются в по
следующей деятельности;
- повторяемость - способ обеспечения повторения в проектах успешных работ;
- результативность - способ оказания помощи как разработчикам, так и оценщикам в повышении
эффективности их труда;
- доверие - обеспечение уверенности в рассмотрении потребностей в безопасности.
Для выполнения этих требований необходим механизм, направляющий организации на понимание
и усовершенствование своих действий по проектированию безопасности. Учитывая эти запросы, модель
SSE-CMM® разработана с целью развития существующей практики проектирования безопасности для
повышения качества и доступности защищенных систем, надежной продукции и услуг по проектирова
нию безопасности, а также снижения затрат на их поставку.
В частности, предполагается получение следующих преимуществ.
Для проектных организаций.
V