ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
6.2 Общее понятие о процессе проектирования безопасности
Модель SSE-CMM® разделяет проектирование безопасности на три основные части: риск, проектирование и формирование доверия (см. рисунок 1). Поскольку эти части никак не зависят друга от друга, можно рассматривать их в отдельности. На самом простом уровне процесс обнаружения рисков идентифицирует угрозы, присущие разрабатываемому продукту или системе, и определяет их приоритеты. Процесс проектирования безопасности функционирует наряду с другими инженерными дисциплинами для определения задач, инициированных угрозами и реализации их решений. Наконец, процесс формирования доверия обеспечивает уверенность в решениях задач безопасности и передает эту уверенность заказчикам.
Вместе эти три части служат достижению цели получения надлежащих результатов в процессе проектирования безопасности.
6.2.1 Риск
Основной целью проектирования безопасности является снижение риска. Оценка риска является процессом выявления проблем, которые ранее не встречались. Риски оцениваются путем изучения вероятности реализации угрозы и уязвимости и рассмотрения потенциального воздействия непредусмотренного инцидента (см. рисунок 2). С этой вероятностью связан фактор неопределенности, который изменяется в зависимости от определенной ситуации. Это значит, что вероятность появления угрозы безопасности можно предсказать только в определенных пределах. Кроме того, воздействие, оцененное для конкретного риска, также имеет связанную с ним неопределенность, поскольку непредусмотренный инцидент может оказаться не таким, как предполагалось. Так как факторы могут иметь большую степень неопределенности, связанную с точностью их прогнозирования, планирование и обоснование обеспечения безопасности может быть сильно затруднено. Одним из путей рационального решения этой задачи является внедрение методов обнаружения непредусмотренного инцидента.
- Рисунок 1 - Процесс проектирования безопасности, состоящий из трех основных частей
- Рисунок 2 - Процесс обнаружения риска, включающего в себя угрозы, уязвимости и воздействие
- Рисунок 3 - Безопасность, являющаяся неотъемлемой частью общего процесса проектирования
- Рисунок 4 - Процесс формирования доверия, производящий аргумент, который создает уверенность