ГОСТ Р 54582—2011
уровней возможностей для конкретных ЧП, а не одного уровня для всех ЧП. Например, профиль заку-
пок может обозначать уровень возможностей 2 для ЧП 1—5 и уровень 3 для ЧП 6—10.
SSE-CMM ИСО/МЭК 21827 является непрерывной моделью, которая является более гибкой и
пригодной для промышленных организаций потому, что в соответствии с ней могут выбираться только
подходящие ЧП, однако в случае использования многоступенчатой модели, подобной ТСММ, сравни-
вать ранжирования разных организаций гораздо труднее.
Организация должна достичь для ЧП минимального уровня 2, необходимого для обеспечения
удовлетворительной безопасности, так как уровня 1 недостаточно в связи с тем, что процессы подо-
браны специально и могут быть незавершенными. Исходя из модели SSE-CMM, это означает, что ор-
ганизация планирует, прослеживает выполнение ее основных практик и корректирует их в случае появ-
ления дефектов в рабочей продукции, тем самым демонстрируя повторяемость и последовательность
процессов, что позволяет производить прогнозируемый продукт и, в свою очередь, являться важным
фактором доверия.
6.17.3 Источники
См. раздел 2 ИСО/МЭК 21827.
См. [24] и [25].
Примечания
1 ИСО/МЭК 21827 является разработкой ИСО/МЭК СТК 1/ПК 27/РГ 3 «Информационная технология. Методы
и средства обеспечения безопасности. Критерии оценки безопасности».
2 Основной документ ИСО/МЭК 21827 был представлен и поддерживается Международной ассоциацией
проектирования безопасности работы систем (ISSEA).
13873 Park Center Road, Suite 200, Herndon, VA 20171, USA.
1327 Upper Dwyer Hill Road, Carp, Ontario, K0A 1LO, Canada.
6.18 ТСММ — доверенная модель зрелости процесса
DI
23
6.18.1 Цель
Повышение доверия к безопасности ПО организации и улучшение процессов его разработки.
6.18.2 Описание
Доверенная модель технологической зрелости (ТСММ) является экспериментальным стандартом
доверия к безопасности ПО, основанным на фундаментальных принципах и структуре СММ (моде-ли
технологической зрелости), разработанной Институтом программной инженерии (SEI). Хотя ТСММ
является специализированной моделью зрелости, она была создана путем слияния методологии раз-
работки доверенного ПО (TSDM) и модели технологической зрелости SEI, что привело в результате к
созданию многих улучшенных ключевых частей процесса (КЧП) и новых КЧП, названных «разра-
боткой доверенного ПО», содержащей новые практики, не соответствующие ни одной из имеющихся
КЧП. ТСММ сосредоточена только на среде разработки и предназначена для использования в управ-
ленческой и организационной деятельности организации, что в значительной степени отличается от
SSE-CMM ИСО/МЭК 21827. ТСММ применима только к процессам и системам. Все процессы, связан-
ные с разработкой ОО, находятся вне области ее применения.
ТСММ содержит КЧП, ОП и уровни возможностей для описания процессов организации для
определения, насколько правильно организация выполняет КЧП в соответствии с моделью SSE-CMM
ИСО/МЭК 21827. Уровень возможностей присваивается организации с целью указания уровня соот-
ветствия, который находится в диапазоне от уровня 1 (исходный) до уровня 5 (оптимизирующий). Уро-
вень 1 содержит мало КЧП, и считается, что в организации существуют специализированные процессы.
Будучи многоступенчатой моделью, уровни возможности ТСММ образуют последовательность
стадий для каждого уровня (кроме уровня 1), содержащего уникальный набор родственных КЧП. В от-
личие от непрерывной модели организации должны выполнять все КЧП для достижения соответству-
ющего определенному уровню возможностей TCMM, однако эти стадии помогают организациям сосре-
доточиться на улучшении своих процессов и обеспечить четкий путь улучшения до следующего уровня
возможности ТСММ. Эти стадии облегчают процессы закупки и сравнений, поскольку КЧП для каждой
стадии не меняются. Будучи многоступенчатой моделью, ТСММ аналогична ОК (общим критериям), од-
нако, в отличиe от ОК, сфокусированной на безопасности ОО, ТСММ ограничена безопасностью среды
разработки.