ГОСТ Р ИСО/МЭК 21827—2010
- рекомендации по проекту - определяет принципы и ограничения, управляющие системным проек
тированием;
- рекомендации по реализации - определяют принципы и ограничения, управляющие реализацией
системы;
- рекомендации по архитектуре безопасности - определяют принципы и ограничения, которые оп
ределяют свойства безопасности системы;
- основные принципы защиты - высокоуровневое описание способа обеспечения безопасности,
включая автоматизированные, физические и административные механизмы и персонал;
- принципы, стандарты проектирования - ограничения пути системного проектирования (например,
наименьший уровень привилегий, изоляция средств обеспечения безопасности;
- стандарты кодирования - ограничения по реализации системы.
7.9.6.3 Примечания
Объем требуемого руководства и степень детализации зависят от знания, опыта или осведомлен
ности других инженерно-технических работников в области безопасности. Во многих случаях большая
часть руководства может относиться скорее к среде разработки, чем к разрабатываемой системе.
7.9.7 ВР.09.06 - Предоставляет руководство по безопасности
Предоставление руководства по безопасности пользователям и администраторам автоматизиро
ванной системы.
7.9.7.1 Описание
Назначением этой практики является разработка связанного с безопасностью руководства и пред
ставление его пользователям и администраторам системы. В этом руководстве пользователям и адми
нистраторам сообщается, что необходимо сделать для безопасной установки, конфигурирования, экс
плуатации системы и вывода ее из эксплуатации. Для реализации этой возможности разработку руково
дства по безопасности следует начинать в самом начале жизненного цикла системы безопасности.
7.9.7.2 Примеры результатов деятельности;
- руководство для администратора - описание функций администратора и привилегий при безо
пасной установке, конфигурирования, эксплуатации системы и вывода ее из эксплуатации;
- руководство для пользователя - описание механизмов обеспечения безопасности, предостав
ляемых системой, и инструкции по их применению;
- профиль безопасности - среда безопасности (угрозы, политика организации), цели обеспечения
безопасности (противодействие угрозам), функциональные требования и требования доверия к безо
пасности; обоснование того, что системы, разработанные по этим требованиям, отвечают поставленным
целям;
- инструкции по конфигурированию систем - инструкции по конфигурированию системы для обес
печения соответствия ее функционирования целям безопасности.
7.9.7.3 Примечания
При разработке систем среда разработки считается средой эксплуатации.
7.10 РАЮ - Определяет требования безопасности
7.10 Область процесса
7.10.1.1 Краткое описание
Назначением практики "Определение требований безопасности" является однозначное определе
ние требований, связанных с безопасностью системы. Область процесса ’Определение потребностей в
безопасности" включает определение основы безопасности в системе, с целью обеспечения соответст
вия всем правовым требованиям и требованиям политики и организации к безопасности. Эти требова
ния изменяются в соответствии с существующими условиями безопасности системы, средой безопасно
сти системы организации и комплекса целей обеспечения безопасности. Для системы определен набор
связанных с безопасностью требований, который становится основой проектирования безопасности в
рамках системы.
7.10.1.2 Цели
Обеспечение общего понимания требований безопасности всеми сторонами, включая заказчика.
7.10.1.3 Перечень базовых практик
ВР.10.01 обеспечивает понимание требований заказчика к безопасности.
ВР. 10.02 определяет законы, политики, стандарты, внешние воздействия и ограничения, обуслав
ливающие функционирование системы.
ВР. 10.03 определяет назначение системы с целью определения контекста безопасности.