ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     6.1 Проектирование безопасности

6.1.1 Понятие проектирования безопасности

Стремление к всеобъемлющей взаимосвязи и совместимости сетей, компьютеров, прикладных программ и даже предприятий непрерывно повышает роль безопасности. Основное внимание к обеспечению безопасности сместилось с защиты правительственной информации ограниченного пользования к области более широкого применения, включая финансовые операции, контракты, персональные данные и Интернет. В результате необходимо, чтобы потенциальные области, нуждающиеся в защите, рассматривались и определялись для каждого направления использования. Примерами таких областей являются конфиденциальность, целостность, доступность, подотчетность, неприкосновенность частной жизни и доверие.

Смещение направленности задач обеспечения безопасности повышает значимость проектирования безопасности. Оно становится все более важной дисциплиной и должно превратиться в ключевой компонент согласованных действий инженерных групп, состоящих из специалистов в разных дисциплинах. Проектирование безопасности применимо к разработке, интеграции, эксплуатации, управлению и развитию систем и приложений, а также к разработке, доставке и модернизации продукции. Вопросы безопасности должны учитываться при определении, руководстве и модернизации безопасности предприятий и процессов деловой деятельности. Проектирование безопасности может осуществляться в системе, продукте или в виде услуги.

6.1.2 Описание проектирования безопасности

Проектирование безопасности является развивающейся дисциплиной. По существу согласие по точному определению понятия "проектирование" пока не достигнуто. Однако возможно несколько обобщений. Так, одними из целей проектирования безопасности являются:

- обеспечение понимания рисков безопасности предприятия;

- установление уравновешенной (сбалансированной) совокупности требований безопасности в соответствии с идентифицированными рисками;

- преобразование требований безопасности в руководство по безопасности с целью интеграции в деятельность, относящуюся к другим дисциплинам, участвующим в проекте, и в описание конфигурации или функционирования системы;

- создание уверенности или доверия к правильности и эффективности механизмов обеспечения безопасности;

- определение допустимости воздействий на эксплуатацию, обусловленных остаточными уязвимостями в системе или в процессе ее эксплуатации (то есть определение остаточных рисков);

- объединение усилий всех инженерных дисциплин с целью общего понимания надежности системы.

6.1.3 Организации, связанные с проектированием мер безопасности

Деятельность по проектированию безопасности практикуется различными типами организаций, такими как:

- разработчики;

- продавцы продукции;

- интеграторы;

- покупатели (приобретающая организация или конечный пользователь);

- организации, оценивающие безопасность (органы сертификации систем, оценки продукции и аккредитации эксплуатации);

- доверенные третьи стороны (орган сертификации);

- консультирующие организации/провайдеры услуг.

6.1.4 Жизненный цикл проектирования безопасности

Деятельность по проектированию безопасности осуществляется на всех этапах жизненного цикла, включая этапы:

- создания концепции;

- разработки;

- производства;

- эксплуатации;

- поддержки;

- изъятия из эксплуатации.