В предыдущей заметке я уже отмечал, что модель возможностей процессов (Process Capability Model) из COBIT 5 базируется на ISO/IEC 15504 «Information technology -- Process assessment» ISO/IEC 33001:2015 «Information technology – Process assessment – Concepts and terminology».
Здесь же рассматривается ISO/IEC 21827:2008 «Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model® (SSE-CMM®)», который частично связан с ISO/IEC 15504.
Стоит не обращать внимание на 2008 год, т.к. в 2014 году стандарт быть пересмотрен и подтвержден в этом же статусе, т.е. сведения в нем вполне актуальные.
В связи с этим ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса» так же актуален и доступен на русском языке:
В основе стандарта лежит общедоступная модель System Security Engineering - Capability Maturity Model® (SSE-CMM®) Version 3 от International Systems Security Engineering Association (ISSEA), хотя веб-сайт данной ассоциации похоже уже не поддерживается:
Итак, стандарт предназначен для различных целевых аудиторий:
- провайдеры ИБ-услуг (Security service providers);
- «классические защитники» (Countermeasure developers), я бы сказал, так называемая внутренняя ИБ;
- разработчики продуктов (Product developers).
Отмечается, что для производства и эксплуатации систем безопасности и надежной продукции необходимы следующие качества:
- непрерывность;
- повторяемость;
- результативность;
- доверие.
Для их обеспечения необходим механизм, направляющий предприятия на понимание и усовершенствование своих действий по проектированию (Security Engineering). В связи с этим модель SSE-CMM® разработана с целью развития существующей практики проектирования для повышения качества и доступности защищенных систем, создания надежной продукции и услуг, а также снижения затрат на их поставку.
В общем, во благо, всё во благо.
Данная модель описывает этапы, по которым процессы совершенствуются по мере их определения, реализации и усовершенствования. Модель предоставляет руководство по выбору стратегий усовершенствования процессов путем определения текущих возможностей конкретных процессов и выявления проблем, наиболее критичных для улучшения качества и процесса в пределах определенной области.
Таким образом, шкала предназначена для оценки зрелости процессов.
Значения по шестизначной шкале следующие (на рисунке под уровнями обозначены признаки уровня):
- «0»: Не выполнен;
- «1»: Выполнен неформально;
- «2»: Спланирован и отслежен;
- «3»: Четко определен;
- «4»: Количественно управляемый;
- «5»: Постоянно улучшаемый.
В заключении хочу отметить, что документ очень объемный и рассматривает следующие вопросы:
- предпосылки создания документа и основания для его разработки;
- архитектуру модели SSE-CMM® и роль проектирования;
- составные области процесса проектирования;
- уровни зрелости функциональных возможностей;
- области организационного процесса и проекта;
- концепции модели зрелости функциональных возможностей.
Продолжение следует …
