ГОСТ Р ИСО/МЭК 21827—2010
Н А Ц И О Н А Л Ь Н Ы ЙС Т А Н Д А Р ТР О С С И Й С К О ЙФ Е Д Е Р А Ц И И
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Проектирование систем безопасности.
Модель зрелости процесса
Information technology. Security techniques. Systems security
engineering. Capability maturity model
Дата введения 2011—09—01
1 Область применения
Настоящий стандарт содержит подробное описание модели проектирования систем безопасности
- зрелости функциональных возможностей (SSE-CMM®). SSE-CMM® является эталонной моделью про
цесса. сосредоточенной на требованиях по реализации безопасности в системе или серии взаимосвя
занных систем, которые являются доменом безопасности информационных технологий (БИТ). В грани
цах домена БИТ сосредоточена на процессах, используемых для обеспечения БИТ и. более конкретно,
на зрелости этих процессов. Модель SSE-CMM® не предполагает навязывание конкретной организации
заданного процесса, не говоря об определенной методологии. Скорее имеется в виду, что организации
используют модель SSE-CMM®, если в них не применяются процессы, основанные на каком-либо дру гом
руководстве по БИТ. Область применения настоящего стандарта охватывает:
- действия по проектированию безопасности для защищенного продукта или выверенной системы,
включающие полный жизненный цикл, состоящий из определения понятия, анализа требований, проек
тирования. разработки, интеграции, установки, эксплуатации, обслуживания и вывода из эксплуатации:
- требования к разработчикам продукта, разработчикам и интеграторам безопасных систем, орга
низациям. предоставляющим услуги по обеспечению компьютерной безопасности и проектированию
безопасности;
- организации по проектированию безопасности всех типов и масштабов, от коммерческих до пра
вительственных и академических.
Использование SSE-CMM® для оценки и улучшения возможностей проектирования безопасности
не означает, что его следует осуществлять без применения других технических дисциплин. Наоборот,
модель SSE-CMM® способствует интеграции с учетом того, что обеспечение безопасности распростра
няется на все технические дисциплины (например, системы, программное обеспечение и аппаратные
средства), и определяет компоненты модели для решения таких задач. Общий признак «координация
практических приемов» признает необходимость интегрирования безопасности во все дисциплины и
группы, участвующие в проекте, или во всю организацию. Аналогично в области процесса «координация
безопасности» приводится определение цели и описываются механизмы, предназначенные для исполь
зования при координировании действий по проектированию безопасности.
2 Нормативные ссылки
В настоящем стандарте использованы ссылка на международный стандарт ИСО/МЭК 15504-2 2003
Информационная технология. Оценка процесса. Часть 2. Проведение оценки (ISO/IEC 15504-2. Informa
tion technology — Process assessment — Part 2: Performing an assessment).
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 учетность (подотчетность, отслеживаемость) (accountability): Свойство, обеспечивающее
однозначное отслеживание собственных действий любого логического объекта.
(ИСО/МЭК 7498-2:1989]
3.2 аккредитация (accreditation): Формальное заявление назначенного утверждающего органа о
принятии системы для эксплуатации в определенном режиме безопасности с использованием заданного
набора мер безопасности.
П р и м е ч а н и е - Данное определение в основном применяется в области безопасности в целом;
в ИСО наиболее широко применяемым определением является следующее: процедура, посредством
которой официальный орган формально признает компетентность организации или лица выполнять оп
ределенные задачи.
[ИСО/МЭК Руководство 2]
Издание официальное
1