ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

Приложение В
(справочное)

     Базовые практики для областей процесса "Проект" и "Организация"

В.1 Общая часть

Модель SSE-CMM® включает в себя области процесса "Проект" и "Организация", заимствованные из модели SE-CMM®. Эти области процесса являются важными элементами SSE-CMM® и играют важную роль в интерпретации общих практик.

Каждая область процесса включает в себя раздел "Соображения по вопросам безопасности", в котором представлены некоторые соображения по применению этой части в среде проектирования безопасности. В данном разделе также даются ссылки, связанные с областями процессов модели SSE-CMM.

В.2 Общие соображения по вопросам безопасности

Кроме конкретных соображений в таблице интерпретации по каждой области процесса в последующие разделы включены общие соображения по проектированию безопасности для всех областей процесса "Проект" и "Организация".

В.2.1 Проектный риск в сравнении с риском безопасности

В областях процесса "Проект" и "Организация" используется термин "риск". В этих случаях ссылка на "проектный риск" означает риск, связанный с успешным выполнением проекта с учетом вопросов, относящихся к расходам и графику выполнения. Области процесса проектирования безопасности системы рассматривают действия с "риском безопасности" как определение допустимости эксплуатационных воздействий, являющихся следствием остаточных рисков безопасности. Результаты оценок рисков безопасности могут обеспечить входные данные для действий, связанных с проектными рисками, и влиять на них, хотя области процесса "Проект" и "Организация" не учитывают менеджмент рисков безопасности, ссылка на который имеется в области процесса "Проектирование".

В.2.2 Применимость к этапу эксплуатации

Хотя формулировка "Проект" и "Организация" областей процесса кажутся применимыми только к разработке, они равным образом применимы и к этапу эксплуатации и поддержания жизненного цикла. В целях улучшения или оценки эти области процесса следует интерпретировать на основе перспективы их применимости для организации. В области "соображения по вопросам безопасности" отмечены несколько исключений.

В.2.3 Проектирование безопасности в сравнении с системным проектированием

Термин "системное проектирование" применяется на всем протяжении областей процесса "Проект" и "Организация" (например, "Улучшает процессы системного проектирования организации"). Эти области процесса повсеместно находят широкое применение. Когда области процесса используются в контексте проектирования безопасности, термин "системное проектирование" следует заменить на термин "проектирование безопасности". В областях процесса следует также учитывать перспективы проектирования безопасности путем проведения интеграции этих мер в другие инженерные дисциплины.

В.2.4 Взаимосвязи при проектировании

Взаимосвязь между системным проектированием и проектированием безопасности указана для каждой области процесса. Следует отметить большое число взаимосвязей между различными областями процессов (в этих разделах указаны только основные взаимосвязи).

В.3 РА12 - Обеспечивает качество

В.3.1 Область процесса

В.3.1.1 Соображения безопасности

Область процесса РА06 связана с обеспечением качества. Доверие можно считать специфическим типом качества, связанным с безопасностью.

В.3.1.2 Краткое описание

Назначением области процесса "Обеспечение качества" является рассмотрение не только качества системы, но и качества процесса, используемого для формирования системы, и степени, в которой проект следует заданному процессу. Основная концепция этой области процесса заключается в том, что высококачественные системы можно получить только при условии наличия процесса постоянного измерения и улучшения качества. Кроме того, этот процесс надо поддерживать в течение всего жизненного цикла. Ключевыми аспектами процесса, требуемого для разработки высококачественных систем, являются измерение, анализ и корректирующие действия.

В.3.1.3 Цели:

- определение и измерение качества процесса;

- получение ожидаемого качества рабочего продукта.

В.3.1.4 Перечень базовых практик

Последующий перечень содержит следующие базовые практики, являющиеся неотъемлемыми элементами качественного системного проектирования:

BP.12.01 - определяет требования к качеству каждого рабочего продукта.

ВР.12.02 - обеспечивает следование процессу системного проектирования во время жизненного цикла.