12
применением процессов каждого этапа и их видов деятельности.
В ИСО/МЭК ТО 15443-1 представлена структура, позволяющая характеризовать тип продукта, подход к обеспечению доверия и этап обеспечения доверия, предназначенный для оценки.
По-прежнему существует много вопросов, касающихся обеспечения доверия, подлежащих рассмотрению. В данном разделе настоящего стандарта приводится расширение концептуальной структуры, представленной в ИСО/МЭК ТО 15443-1, в целях проведения дальнейшего анализа.
В настоящем стандарте поэтапная модель жизненного цикла усовершенствуется прибавлением этапа «Концепция/специализация» (см. таблицу 5).
Наличие процессов, соответствующих этапу концепции/специализации, обусловливается многими стандартами. Однако конкретный этап жизненного цикла этих процессов обычно не определяется. Некоторые методы обеспечения доверия предлагают определенные процессы и виды деятельности.
Поводом для этого расширения в настоящем стандарте является то, что безопасность ИКТ требует особого внимания и дополнительных усилий для получения согласованной и непротиворечивой спецификации характеристик безопасности продукта. Существует много методов обеспечения доверия, предлагающих определенные процессы и виды деятельности для этого этапа жизненного цикла системы, применимые для области безопасности ИКТ.
В расширенной модели доверия различные этапы жизненного цикла представлены в таблице пятью столбцами. В соответствии с концепциями ИСО/МЭК 15288 и ИСО 9000 технологические процессы жизненного цикла группируются в пять этапов (по одному на каждый столбец), обозначенных одной (1) буквой:
С Conception) — концепция формирования требований к проектированию безопасности, которая может включать в себя общую архитектуру;
D (Design) — проектирование, включая процессы определения требований заинтересованных сторон, анализа требований, архитектурного проектирования и реализации;
I (Integration) — интеграция, включая процессы интеграции и верификации;
T (Transition) — переход, включая процессы дублирования, перемещения, ввода в действие и приемочные испытания;
O (Operation) — эксплуатация, включая процессы эксплуатации, обслуживания и ликвидации.
В ИСО/МЭК ТО 15443-1 разработана следующая концепция:
- доверие может быть сосредоточено на результате процесса, являющегося продуктом, в итоге появляется доверие к продукту;
- применяемые процессы обычно являются предметом внимания организации и ее заказчиков, поскольку они более или менее формально специфицируются и относительно улучшаются. Доверие может фокусироваться на процессах, примененных к продукту, а не на самом продукте, приводя к формированию доверия к процессу;
- для осуществления процессов требуется среда, а именно: люди, оборудование и другие ресурсы. Доверие может фокусироваться на среде, в которой обрабатывается продукт, а не на продукте или процессах, приводя к формированию доверия к среде.
Примечание — В настоящем стандарте не детализируется метод применения жизненных циклов, а также его процессы и виды деятельности; однако могут потребоваться подробности при уточнении сравнения методов обеспечения доверия.
- Управление процессами жизненного цикла
Этапы жизненного цикла C-D-I-T-O включают в себя процессы, которые можно применять к конкретному объекту ИКТ и его компонентам, то есть к аппаратным средствам, программному обеспечению, услугам.
В интересах повышения качества и усовершенствования эти процессы и их виды деятельности можно сделать объектом управления.