ГОСТ Р ИСО/МЭК 21827—2010
Назначением этой практики является определение целей, которые должны выполняться для обес
печения адекватной безопасности системы в ее среде эксплуатации.
7.10.6.2 Примеры результатов деятельности:
- политика безопасности функционирования/среды эксплуатации - правила, указания и практиче
ские приемы, руководящие управлением, защитой и распределением активов в рамках организации и за ее
пределами,
- политика безопасности системы - правила, указания и практические приемы, руководящие управле
нием. защитой и распределением активов всистеме или продукте.
7.10.6.3 Примечания
Цели безопасности по возможности не должны зависеть от какого-либо конкретного ее внедрения.
Если имеются какие-либо конкретные ограничения из-за существующей среды, их следует рассматри
вать в РА09. когда определяются ограничения и соображения по информированному выбору
проектиро вания. Цели безопасности должны, как минимум, учитывать доступность, подотчетность,
аутентичность, конфиденциальность, целостность и требования к надежности системы и информации.
7.10.7 ВР.10.06 - Определяет связанные с безопасностью требования
Определяет последовательный набор требований, определяющих защиту, предназначенную для
внедрения в систему.
7.10.7.1 Описание
Назначением этой практики является определение требований к системе, связанных с безопасно
стью. Практика должна обеспечивать согласованность каждого требования с применяемой политикой,
правовыми нормами, стандартами, требованиями безопасности и ограничениями системы. Эти требова
ния должны полностью определять потребности системы в безопасности, включая требования, пред
ставляемые нетехническими средствами. Обычно для изучения всех аспектов необходимо определить
или обозначить логические или физические границы целевой задачи. Требования должны соответство
вать целям системы или быть связаны с ней. Обеспечение безопасности должно, по возможности, ми
нимизировать любое воздействие на характеристики и функциональные возможности системы. Связан
ные с безопасностью требования должны обеспечивать основу для оценки безопасности системы в ее
целевой среде.
7.10.7.2 Примеры результатов деятельности:
- связанные с безопасностью требования - требования, оказывающие непосредственное воздейст
вие на безопасное функционирование системы и обеспечивающие соответствие установленной полити
ке:
- таблица прослеживаемости - отображение соответствия потребностей в безопасности требова
ниям, решениям (например, по архитектуре, проекту, реализации), тестам и результатам тестов.
7.10.7.3 Примечания
Многие требования применимы к многочисленным дисциплинам, поэтому лишь несколько требова
ний связаны исключительно с безопасностью. Следовательно, для этой области процесса требуется
большая степень координации с другими дисциплинами для получения именно того, что является тре
бованиями системы. Действия, связанные с этой взаимосвязью, описаны в РА07.
7.10.8 ВР.10.07 - Заключает соглашение по безопасности
Заключение соглашения о согласовании установленных требований безопасности с потребностями
заказчика.
7.10.8.1 Описание
Назначенном этой практики является достижение согласия между заинтересованными сторонами
по требованиям безопасности. В случаях с обобщенной группой заказчиков вместо одного заказчика
требования должны соответствовать совокупности целей. Установленные требования безопасности
должны быть полным и последовательным отражением управления политикой, правовых норм и
по требностей заказчика. Проблемы необходимо определить и проработать до получения согласия
сторон.
7.10.8.2 Примеры результатов деятельности:
- утвержденные цели обеспечения безопасности - сформулированное намерение противодейство
вать идентифицированным угрозам и/или следовать установленным политикам безопасности (утвер
жденным заказчиком);
51