46
Приложение D (справочное)
Изучение конкретных случаев
- 1 Стратегия формирования комбинированного метода обеспечения доверия производителя микропроцессорных карточек
Производитель микропроцессорных карточек выбрал комбинацию ИСО/МЭК 15408 + ИСО/МЭК 19790 + + ИСО/МЭК 21827. Стратегия обеспечения доверия основывалась на прошлом опыте и снижении себестоимости в будущем.
Компания провела успешную расширенную оценку по оценочному уровню доверия (ОУД) 4 и расширенную оценку по ОУД 1. Это означает, что несколько групп имеют опыт работы с ИСО/МЭК 15408.
Дополнительно компания провела три успешные оценки уровня 3 по ИСО/МЭК 19790.
Компанию привлекла идея сертификации процессов, но, к сожалению, она не имела опыта работы с ИСО/МЭК 21827.
Причиной создания этой комбинации является потребность производителя в оптимальном сочетании видов доверия.
Обоснованием комбинации стал сравнительный анализ производительности. Выбор был сделан на основе следующих положений:
- ИСО/МЭК 19790 рассматривает:
соответствие функций безопасности продукта требованиям, стойкость продукта;
- ИСО/МЭК 15408 рассматривает:
соответствие функций безопасности продукта требованиям, стойкость продукта, методологию и среду разработки;
рассматривает процесс разработки безопасных услуг и продуктов, очень хорошо согласуется с ИСО/МЭК 15408.
Общий подход заключается в использовании соответствующих процессов ИСО/МЭК 21827 для обеспечения разработки продуктов, а ИСО/МЭК 19790 или ИСО/МЭК 15408 — для их оценки. Преимуществом является то, что:
- документы, требуемые для ОУД4 по ИСО/МЭК 15408 или ИСО/МЭК 19790, могут быть в виде обычных выходных данных процессов, соответствующих всем техническим требованиям;
- для менее критичных продуктов доверие получается в соответствии с ИСО/МЭК 21827 без необходимости оплаты оценки готового продукта и задержки на эту оценку. Как сертифицированный процесс, так и ссылка на оцененные продукты дают уверенность, достаточную для заказчиков;
- для критичных продуктов и в зависимости от финансовых требований и требований заказчика проводят оценку и сертификацию по ОУД 4 ИСО/МЭК 15408 и ИСО/МЭК 19790 соответственно.
- 2 Провайдер услуг обеспечивает модернизацию бизнес-процессов
Предоставляющей услуги компании потребовалось модернизировать свои бизнес-процессы для:
- поставки товаров и услуг в режиме «он-лайн» в дополнение к использованию традиционных каналов;
- снижения расходов, связанных с торговыми операциями по цепочке поставок;
- предоставления персоналу возможности работать дистанционно.
Информационная безопасность и конфиденциальность были признаны критичными для успешного изменения бизнес-процессов и систем ИТ. Специальные требования были сформулированы на основе отчетов внутреннего и внешнего аудитов и обратной связи от заказчиков, партнеров по бизнесу и поставщиков.
Компания выбрала ИСО/МЭК 27001 и ИСО/МЭК 27002 из-за международного признания передового опыта их применения и пригодности для всех видов управления информационной безопасностью.
Было признано, что программа управления информационной безопасностью должна охватывать всю информацию независимо от ее носителей и технологию, используемую для ее обработки. Методы и средства менеджмента рисков и документация основывались на требованиях ИСО/МЭК 27001. В ИСО/МЭК 27002 были внесены изменения по инициативе пользователей с дополнительными подробностями, относящимися к требованиям контроля безопасности, отвечающим специфическим потребностям компании.
Внедрение было предпринято в виде проекта с использованием обычных внутренних процедур управления проектом, когда внедрение обусловливалось профилем риска каждой задействованной области. Для внедрения выбранного подхода потребовалось много усилий, открытого и честного информирования заинтересованных сторон и получения необходимой поддержки. Поддержка, полученная при этих начальных усилиях, в результате значительно облегчила процесс внедрения.
Проведя после внедрения анализ, компания пришла к выводу, что критичными факторами успеха были: