ГОСТ Р ИСО/МЭК 21827—2010
разных стран и разных видов деловой деятельности. В качестве области процесса идентификации кон
фликты должны быть определены, сведены к минимуму и по возможности разрешены.
7.10.4 ВР.10.03 - Определяет контекст безопасности системы
Определение назначения системы с целью определения контекста безопасности.
7.10.4.1 Описание
Назначением этой практики является определение степени воздействия среды системы на безо
пасность. Это подразумевает понимание назначения системы (например, интеллектуальная, финансо
вая. медицинская). Сценарии выполнения заданий и операций оцениваются из соображений безопасно
сти. На этом этапе требуется высокоуровневое понимание угрозы, которой может подвергаться система.
Эксплуатационные и функциональные требования оцениваются на предмет возможных воздействий на
безопасность. Также анализируются эксплуатационные ограничения, с точки зрения их последствий для
состояния безопасности.
Среда может также включать в себя средства сопряжения с другими организациями и системами с це
лью определения периметра безопасности системы. Определяется местонахождение элементов средств
сопряжения внутри периметра безопасности или за его пределами.
Многие факторы, являющиеся внешними для организации, тоже в разной степени влияют на по
требности организации в обеспечении безопасности. Эти факторы включают политическую ориентацию и
ее изменения, разработки технологий, экономические влияния, глобальные события и действия по ве
дению информационной войны. Поскольку ни один из этих факторов не является статичным, они требу
ют мониторинга и периодической оценки потенциального воздействия их изменений.
7.10.4.2 Примеры результатов деятельности:
- среда ожидаемой угрозы - любые известные или предполагаемые угрозы активам систем, нуж
дающимся в защите; включает в себя носителя угрозы (квалификация, имеющиеся ресурсы, мотивация),
атаку (метод, используемые уязвимости, благоприятные возможности), актив;
- цель оценки - описание системы или продукта, чьи свойства безопасности подлежат оценке (тип.
предполагаемое применение, основные свойства, ограничения по применению).
7.10.4.3 Примечания
Периметр безопасности системы необязательно идентичен границам системы (например, пери
метр безопасности может содержать помещение, в котором находится система и работающий с ней пер
сонал. тогда как границы системы могут проходить по человеко-машинному интерфейсу). Этот расши
ренный периметр безопасности позволяет рассматривать физические меры как эффективные защитные
меры для управления доступом вдополнение к чисто техническим мерам.
7.10.5 ВР.10.04 - Фиксирует ориентированное на безопасность представление о функциони
ровании системы
Фиксация ориентированного на высокоуровневую безопасность представления о функционирова
нии системы.
7.10.5.1 Описание
Назначением этой практики является разработка ориентированного на высокоуровневую безопас
ность представления о предприятии, включая роли, обязанности, информационный поток, активы, защи ту
персонала и физическую защиту. Данное описание должно включать обсуждение возможности управ
ления предприятием в рамках ограничений требований системы. Этот взгляд на систему обычно преду
сматривается в концепции обеспечения безопасности операций и должен включать представление об
архитектуре, процедурах и среде системы, ориентированное на высокоуровневую безопасность.
. На этом этапе также фиксируются требования, связанные со средой разработки системы.
7.10.5.2 Примеры результатов деятельности:
- концепция обеспечения безопасности операций - ориентированное на высокоуровневую безопас
ность представление системы (роли, обязанности, активы, информационный поток, процедуры);
- концептуальная архитектура безопасности - концептуальное представление архитектуры безо
пасности (см. ВР.09.03).
7.10.5.3 Примечания
Отсутствуют.
7.10.6 ВР.10.05 - Фиксирует высокоуровневые цели обеспечения безопасности
Фиксация высокоуровневых целей, определяющих безопасность системы.
7.10.6.1 Описание
50