ГОСТ Р ИСО/МЭК 21827—2010
ВР.10.04 обеспечивает ориентированное на безопасность высокоуровневое представление о
функционировании системы.
ВР. 10.05 представляет высокоуровневые цели, определяющие безопасность системы.
ВР. 10.06 определяет набор согласованных формулировок, определяющих защиту, которую надо
реализовать в системе.
ВР.10.07 получает согласие о том, что установленные требования безопасности удовлетворяют
требованиям заказчика.
7.10.1.4 Примечания к области процесса
Эта область процесса охватывает действия, определяющие все аспекты безопасности информационной
системы в целом (например, физический, функциональный, процедурный). Базовые практики учитывают то, как
определяются и сочетаются потребности в безопасности с совокупностью требований, связанных с безопасно
стью. которые используются в проектировании, разработке, верификации, функционировании и обслуживании
системы. В большинстве случаев необходимо принимать во внимание существующую среду и связанные с ней
потребности в безопасности. Полученная и произведенная этой областью процесса информация собирается,
уточняется, используется и корректируется в течение всего проекта (особенно в РА09) с целью обеспечения
рассмотрения потребностей заказчика.
При отслеживании функционирования этой области процесса анализ тенденций между различны
ми базовыми практиками может показать, удовлетворен ли аргумент доверия (см. РА06).
7.10.2ВР.10.01 - Обеспечивает понимание потребностей заказчика в обеспечении безопас
ности
Обеспечение понимания потребностей заказчика в безопасности.
7.10.2.1 Описание
Назначением этой практики является сбор информации, необходимой для полного понимания по
требностей заказчика в безопасности. На эти потребности оказывает влияние важность риска безопас
ности для заказчика. Целевая среда, в которой должна функционировать система, также влияет на по
требности заказчика в отношении безопасности.
7.10.2.2 Примеры результатов деятельности:
- формулировка потребностей заказчика в обеспечении безопасности - описание защиты, требуе
мой заказчиком.
7.10.2.3 Примечания
Термин «заказчик» часто относится к конкретному получателю продукта, системы или услуги или к
гипотетическому получателю, определенному на основании изучения рынка или предназначения продук та.
Может понадобиться идентификация разных групп заказчиков и проведение различий между ними.
Например, у обычных пользователей могут быть потребности, отличные от потребностей администрато
ров.
7.10.3 ВР.10.02 - Определяет применимые законы, политики и ограничения
Определяет законы, политики, стандарты, внешние воздействия и ограничения, обусловливающие
работу системы.
7.10.3 1 Описание
Назначением этой практики является обобщение всех воздействий, оказывающих влияние на
безопасность системы. При определении применимости идентифицируются законы, положения, полити ки
и торговые стандарты, управляющие целевой средой системы. Необходимо определить приоритет между
глобальными и локальными политиками. Требования безопасности, предъявляемые к системе ее
заказчиком, должны быть определены, а их последствия для безопасности - выделены отдельно.
7.10.3.2 Примеры результатов деятельности:
- ограничения безопасности - законы, положения, политики и другие ограничения, влияющие на
безопасность системы;
- профиль безопасности - среда безопасности (угрозы, политика организации), цели обеспечения
безопасности (например, противодействие угрозам); функциональные требования и требования доверия к
безопасности; обоснование соответствия систем, разработанных по этим требованиям, поставленным
целям.
7.10.3.3 Примечания
Требуется особое внимание при пересечении системой множественных физических областей. Су
ществует возможность возникновения конфликта между законами и положениями, приемлемыми для
49