ГОСТ Р 54582—2011
6.17 ИСО/МЭК 21827 — Проектирование безопасности систем — Модель зрелости
процесса (SSE-CMM®)
DIT
O
22
6.17.1 Цель
Улучшение процессов проектирования безопасности систем организации и получение объектов с
доверием к функциональным возможностям.
6.17.2 Описание
ИСО/МЭК 21827 в первую очередь сосредоточен на частях процесса (ЧП), необходимых для
проектирования безопасности систем, которые называют «частями проектирования процесса».
ИСО/МЭК 21827 также включает в себя ЧП, необходимые для поддержки проектов, осуществляемых в
рамках частей проектирования безопасности систем, называемые «проектными ЧП», и ЧП, необхо-
димые в рамках организации в целом для поддержки частей проектирования безопасности систем,
называемых «ЧП организации».
Основное внимание в ИСО/МЭК 21827 уделяется частям проектирования безопасности систем и
их действиям. ЧП SSE-CMM можно адаптировать для потребностей организации, а в область приме-
нения ИСО/МЭК 21827 могут входить конкретный проект, отдел организации или организация в целом.
ИСО/МЭК 21827 применим для любой организации, участвующей в обеспечении безопасности
ИКТ или заинтересованной в ней, и может использоваться этой организацией. В число таких органи-
заций могут входить организации, разрабатывающие как защищенные, так и незащищенные продукты
и/или интегрирующие их, и организации, применяющие защищенные продукты или предоставляющие
услуги по обеспечению безопасности. Таким образом, ИСО/МЭК 21827 может применяться организаци-
ями для улучшения своих процессов проектирования безопасности систем при разработке продуктов
безопасности ИКТ или предоставлении услуг по обеспечению безопасности ИКТ (таких как оценка угроз
или рисков) с более высоким качеством и в соответствии с графиком.
SSE-CMM является уникальной моделью, поскольку она детализирует требования по проектиро-
ванию безопасности для систем обеспечения безопасности проектирования в дополнение к требова-
ниям безопасности, которым должна соответствовать среда разработки. Более того, модель содержит
ЧП для широкого ряда таких областей разработки, как определение требований безопасности, тестиро-
вание системы, анализ угроз и уязвимостей. SSE-CMM отличается от доверенной модели технологиче-
ской зрелости (ТСММ), специфицирующей только требования, которым должна соответствовать среда
разработки организации.
ИСО/МЭК 21827 содержит ЧП, базовые практики (БП), общие практики (ОП) и уровни возмож-
ностей для описания процессов организации и определения качества осуществления организацией
частей процесса (ЧП). ЧП состоят из группы родственных БП, которые сосредоточены на конкретных
действиях процесса в рамках организации, тогда как ОП связаны со зрелостью всего процесса орга-
низации. ЧП, БП и ОП могут считаться требованиями, а уровни возможностей указывают на соответ-
ствие требованиям ИСО/МЭК 21827, однако эти требования относятся к конечному результату про-
цесса, а не к тому, как этот результат достигается, не оказывая влияния на модель функционирования
организации. Для каждой ЧП распределяют уровень возможностей с указанием уровня соответствия
ИСО/МЭК 21827, которыйранжируетсяотуровня 0 «Невыполнялся» доуровня 5 «Постоянноулучшается».
Профиль ранжирования представлен в виде графического представления ЧП, выполняемых со связан-
ными с ними уровнями возможностей, или в виде уровня зрелости, достигнутого организацией в целом.
Уровень возможностей и профили ранжирования определяются группой по оценке, проводящей оценку со-
ответствия организаций требованиям ИСО/МЭК 21827 по методологии оценки SSE-CMM (SSАМ).
Уровень возможностей демонстрирует достижение организацией минимального уровня возмож-
ностей по всем применимым ЧП (группа родственных практик). ОП являются специальными требова-
ниями, применяемыми только к ЧП, связанным со зрелостью всего процесса и институционализацией
отдельных ЧП во всей организации. Каждый последующий уровень указывает на повышение зрелости
общего процесса организации и возможности выполнения ЧП в рамках организации.
В профиле ранжирования отражен уровень возможностей организации для отдельной ЧП, ука-
зывающий на ее сильные и слабые стороны. Профиль ранжирования используется для указания об-
ласти, в которой организация должна приложить усилия для улучшения своих процессов и достижения
следующего более высокого уровня возможностей. Хотя изначально это не предполагалось, профиль
ранжирования
может
стать
инструментом
закупки,
что
потребует
от
организации
достижения
различных