ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     6.3 Описание архитектуры модели SSE-CMM®

Архитектура модели SSE-CMM® спроектирована для определения зрелости процесса проектирования безопасности организации во всем объеме проектирования безопасности. Целью создания архитектуры является четкое отделение его основных характеристик от характеристик менеджмента и институционализации. Для обеспечения этого разделения модель имеет две величины, называемые "домен" и "возможности" и описанные ниже.

Важно, что SSE-CMM® не предполагает необходимости выполнения какого-либо процесса, описанного в модели какой-нибудь определенной группой в рамках организации. Модель также не требует применения новейшего метода или методологии проектирования безопасности. Однако она требует наличия в организации процесса, включающего в себя базовые практики обеспечения безопасности, изложенные в модели. Организация может создавать собственный процесс и организационную структуру, так или иначе отвечающие их бизнес-целям.

6.3.1 Базовая модель

SSE-CMM® имеет две величины, "домен" и "возможность". Из двух величин величина "домен", возможно, более легка для понимания. Эта величина состоит из всех практических приемов, которые в совокупности определяют проектирование безопасности. Эти практические приемы называются "базовыми практиками". Структура и содержание этих "базовых практик" обсуждаются ниже.

Величина "возможность" представляет собой практические приемы, демонстрирующие возможности менеджмента и институционализации процесса. Эти практические приемы называются "общими практиками", поскольку они применяются в широком диапазоне доменов. Общие практики представляют действия, которые должны осуществляться как часть базовых практик.

Взаимосвязь между базовыми и общими практиками показана на рисунке 5. Существенной частью проектирования безопасности является идентификация уязвимостей безопасности системы. Это действие представлено базовой практикой 05.02 "Идентификация уязвимостей безопасности системы".

Одним способом определения способности организации выполнять какие-либо действия является проверка наличия у нее процесса распределения ресурсов для действий, которые, по ее утверждению, она выполняет. Эта "характеристика" развитой (зрелой) организации отражена в общей практике 2.1.1 "Распределение ресурсов" модели SSE-CMM®.

Объединение общих и базовых практик обеспечивает способ проверки возможности организации выполнять определенную деятельность. Здесь заинтересованная сторона может задать вопрос: "Ваша организация выполняет распределение ресурсов для идентификации уязвимостей безопасности системы?". Если ответом является "Да", опрашивающий узнает немного о возможностях организации.

Ответы на все вопросы, возникающие при объединении всех общих практик со всеми базовыми, дают хорошую картину возможностей проектирования безопасности.

Рисунок 5 - Модель, оценивающая каждую область процесса в сопоставлении с каждым общим признаком

6.3.2 Базовые практики

Модель SSE-CMM® состоит из 129 базовых практик, организованных в 22 областях процесса. Из них 61 базовая практика, организованные в 11 областях процесса, охватывает все главные области проектирования безопасности. Остальные 68 практик, организованных в 11 областях процесса, относятся к доменам проекта и организации. Эти практики были выведены из модели зрелости функциональных возможностей модели СММ® средств программирования и системного проектирования и требуются для обеспечения условий и поддержки областей процесса проектирования безопасности систем. Общие практические приемы обеспечения безопасности были собраны из большого количества существующих материалов, результатов практической деятельности и практического опыта. Выбранные практические приемы протестированы и отражают имеющийся передовой опыт организаций, занимающихся проектированием безопасности.

Определение базовых практик проектирования безопасности осложняется наличием многих различных названий действий, которые по существу одинаковы. Некоторые из этих действий применяются позднее в жизненном цикле на разном уровне абстракции или обычно выполняются лицами на различных должностях. Однако нельзя считать, что организация получила базовую практику, если она применяется только на этапе проектирования или на одном уровне абстракции. Следовательно, модель SSE-CMM® игнорирует эти различия и определяет основной набор практических приемов, которые необходимы в деятельности по качественному проектированию безопасности.

Базовая практика:

- применяется в течение жизненного цикла предприятия;

- не накладывается на другие базовые практики;

- представляет собой "передовой опыт" по обеспечению безопасности;

- не является простым отражением самой современной технологии;

- применяется множественными методами в многочисленных, связанных с деятельностью ситуациях;

- не обозначает конкретный метод или инструмент.

Базовые практики были организованы в области процесса таким образом, чтобы они соответствовали широкому спектру организаций, занимающихся проектированием безопасности. Существует много способов разделить домен проектирования безопасности на области процесса. Кто-то может попытаться смоделировать реальную обстановку, создавая области процесса, согласующиеся с услугами по проектированию безопасности. В других стратегиях делается попытка идентифицировать концептуальные зоны, образующие стандартные блоки проектирования безопасности. Модель SSE-CMM® создает компромисс между этими разными целями в текущей совокупности областей процесса.

Каждая область процесса имеет ряд целей, которые представляют собой предполагаемое состояние организации, успешно выполняющей базовые практики области процесса. Организация, выполняющая базовые практики области процесса, также должна добиваться этих целей.

Область процесса:

- объединяет родственные действия в одной части для удобства использования;

- связана с важными услугами по проектированию безопасности;