Maturity Level (ч.2)

Maturity Level (ч.2)
Продолжая рассмотрение существующих на практике подходов, а точнее шкал по оценке уровня зрелости, применяемых к области информационной безопасности, нельзя пройти мимо стандартов от ISO (the International Organization for Standardization) и IEC (the International Electrotechnical Commission).

В предыдущей заметке я уже отмечал, что модель возможностей процессов (Process Capability Model) из COBIT 5 базируется на ISO/IEC 15504 «Information technology -- Process assessment» ISO/IEC 33001:2015 «Information technology – Process assessment – Concepts and terminology».

Здесь же рассматривается ISO/IEC 21827:2008 «Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model® (SSE-CMM®)», который частично связан с ISO/IEC 15504.

Стоит не обращать внимание на 2008 год, т.к. в 2014 году стандарт быть пересмотрен и подтвержден в этом же статусе, т.е. сведения в нем вполне актуальные.

В связи с этим ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса» так же актуален и доступен на русском языке:
a8717fb1c7ba516aa5510ae5dbc6714f.png


В основе стандарта лежит общедоступная модель System Security Engineering - Capability Maturity Model® (SSE-CMM®) Version 3 от International Systems Security Engineering Association (ISSEA), хотя веб-сайт данной ассоциации похоже уже не поддерживается:
d31b50986f5a436e6d967bde2145c8d8.png

Итак, стандарт предназначен для различных целевых аудиторий:
- провайдеры ИБ-услуг (Security service providers);
- «классические защитники» (Countermeasure developers), я бы сказал, так называемая внутренняя ИБ;
- разработчики продуктов (Product developers).

Отмечается, что для производства и эксплуатации систем безопасности и надежной продукции необходимы следующие качества:
- непрерывность;
 - повторяемость;
 - результативность;
 - доверие.
Для их обеспечения необходим механизм, направляющий предприятия на понимание и усовершенствование своих действий по проектированию (Security Engineering). В связи с этим модель SSE-CMM® разработана с целью развития существующей практики проектирования для повышения качества и доступности защищенных систем, создания надежной продукции и услуг, а также снижения затрат на их поставку.
В общем, во благо, всё во благо.

Данная модель описывает этапы, по которым процессы совершенствуются по мере их определения, реализации и усовершенствования. Модель предоставляет руководство по выбору стратегий усовершенствования процессов путем определения текущих возможностей конкретных процессов и выявления проблем, наиболее критичных для улучшения качества и процесса в пределах определенной области.
Таким образом, шкала предназначена для оценки зрелости процессов.
Значения по шестизначной шкале следующие (на рисунке под уровнями обозначены признаки уровня):
- «0»: Не выполнен;
- «1»: Выполнен неформально;
- «2»: Спланирован и отслежен;
- «3»: Четко определен;
- «4»: Количественно управляемый;
- «5»: Постоянно улучшаемый.
829a1c00280b474669332ff7f61ff593.png

В заключении хочу отметить, что документ очень объемный и рассматривает следующие вопросы:
- предпосылки создания документа и основания для его разработки;
- архитектуру модели SSE-CMM® и роль проектирования;
- составные области процесса проектирования;
- уровни зрелости функциональных возможностей;
- области организационного процесса и проекта;

- концепции модели зрелости функциональных возможностей.

 Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только