338.58K
Category: lawlaw

лекция 3 риски

1.

НОРМАТИВНО-ПРАВОВЫЕ
ОСНОВЫ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ЛЕКЦИЯ 3

2.

ГОСТ Р ИСО 31000-2010
Менеджмент риска.
Принципы и руководство

3.

ГОСТ Р ИСО 31000-2010 – Менеджмент риска.
Принципы и руководство
■ Все организации в определенной степени управляют риском, стандарт ИСО 31000
устанавливает ряд принципов, которые необходимо соблюдать, для того чтобы
менеджмент риска был эффективным.
■ Стандарт рекомендует, чтобы организации разрабатывали, внедряли и улучшали
инфраструктуру, цель которой заключается в интегрировании процесса
менеджмента риска в общее управление, стратегию и планирование, менеджмент,
процессы отчетности, политику, ценности и культуру.
■ Настоящий стандарт может использовать любое государственное, частное или
общественное предприятие, ассоциация, группа лиц или отдельное лицо. Этот
стандарт не является специфическим для какой-либо промышленности или отрасли.
■ ИСО 31000 может применяться в течение всего жизненного цикла организации и
для широкого спектра деятельности, включая стратегии и решения, процессы,
функции, проекты, продукцию и услуги; может применяться к любому типу риска,
независимо от его характера, а также того, имеет ли он отрицательные или
положительные последствия.

4.

ГОСТ Р ИСО 31000-2010 – Менеджмент риска.
Принципы и руководство
В целях эффективного управления риском организация должна на всех уровнях соответствовать
нижеуказанным принципам:

риск-менеджмент создает и защищает ценность (стоимость) актива;

риск-менеджмент является неотъемлемой частью всех организационных процессов;

риск-менеджмент является частью процесса принятия решений;

риск-менеджмент явным образом связан с неопределенностью;

риск-менеджмент является систематическим, структурированным и своевременным;

риск-менеджмент основывается на наилучшей доступной информации;

риск-менеджмент является адаптируемым;

риск-менеджмент учитывает человеческие и культурные факторы;

риск-менеджмент является прозрачным и учитывает интересы заинтересованных сторон;

риск-менеджмент является динамичным, итеративным и реагирующим на изменения;

риск-менеджмент способствует постоянному улучшению организации.

5.

ГОСТ Р ИСО 31000-2010 – Менеджмент риска.
Принципы и руководство
Успех риск-менеджмента зависит
от эффективности инфраструктуры
менеджмента, предоставляющей
базовые основы и мероприятия,
которые должны использоваться во
всей организации на всех уровнях.
Взаимосвязь между элементами
инфраструктуры представлена на
рисунке.
Настоящая инфраструктура
предназначена для того, чтобы
оказать содействие
организации во внедрении
риск-менеджмента в свою
общую систему менеджмента.
Взаимосвязь между элементами инфраструктуры

6.

ГОСТ Р ИСО 31000-2010 – Менеджмент риска.
Принципы и руководство
Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает
поддерживать деятельность организации, организация должна:
■ оценивать качество риск-менеджмента с помощью индикаторов, которые
периодически пересматриваются для сохранения актуальности;
■ периодически сравнивать продвижение с планом по менеджменту риска и
определять отклонения от него;
■ периодически пересматривать инфраструктуру, политику и план менеджмента риска
для обеспечения их адекватности в рамках внутреннего и внешнего контекста
организации;
■ предоставлять информацию о рисках, об исполнении плана по менеджменту риска и
о том, насколько хорошо организация следует политике управления рисками;
■ оценивать эффективность инфраструктуры риск-менеджмента.

7.

ГОСТ Р ИСО 31000-2010 – Менеджмент риска.
Принципы и руководство
В стандарте представлена
схема процесса рискменеджмента, который должен
быть: неотъемлемой частью
менеджмента; частью культуры и
практики организации;
соответствовать бизнеспроцессам организации.
Процесс риск-менеджмента

8.

ГОСТ Р ИСО/МЭК 15408
Общие критерии

9.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
■ В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный
стандарт ISO 15408 под названием «Общие критерии оценки безопасности информационных
технологий» (Common Criteria for Information Technology Security Evaluation).
■ В 2002 году этот стандарт был принят в РФ как ГОСТ Р ИСО/МЭК 15408 «Информационная
технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных
технологий». Ранее в отечественных нормативных документах в области ИБ понятие риска не
вводилось. В настоящее время отечественный стандарт состоит из трех частей:
1. Введение и общая модель (ГОСТ Р ИСО/МЭК 15408-1-2012). Определяются основные понятия и
принципы оценки безопасности информационных технологий (ИТ) и приводится общая модель
оценки.
2. Функциональные компоненты безопасности (ГОСТ Р ИСО/МЭК 15408-2-2013). Стандарт
устанавливает структуру и содержание компонентов функциональных требований безопасности
для оценки безопасности, содержит каталог функциональных компонентов, систематизированных
по семействам и классам .
3. Компоненты доверия к безопасности (ГОСТ Р ИСО/МЭК 15408-3-2013). Настоящий стандарт
устанавливает требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия,
определяющие шкалу для измерения доверия, собственно компоненты доверия, из которых
составлены уровни доверия, и критерии для оценки профиля защиты и задания по безопасности.

10.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
■ Настоящий стандарт предназначен для использования в качестве основы при оценке
характеристик безопасности продуктов или систем ИТ. Он разработан, чтобы удовлетворить
потребности трех групп специалистов: разработчиков, экспертов по сертификации и
пользователей.
■ В контексте оценки в данном стандарте используется понятие «объект оценки» (ОО). ОО - это
набор программных, аппаратно-программных и/или аппаратных средств, сопровождаемый
руководствами пользователя и администратора. ОО может включать ресурсы в виде электронных
носителей данных, периферийных устройств и вычислительных возможностей, которые могут
использоваться для обработки и хранения информации и являются предметом оценки.
■ Безопасность во всех частях ИСО/МЭК 15408 рассмотрена с использованием совокупности
понятий безопасности и терминологии. Их понимание является предпосылкой эффективного
использования стандарта.
■ Безопасность связана с защитой активов. За сохранность рассматриваемых активов отвечают их
владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые
нарушители также могут придавать значение активам и стремиться использовать их вопреки
интересам их владельца. Угрозы воспринимают как потенциальную возможность нанесения ущерба
активам, при котором ценность активов для владельцев уменьшилась бы. Специфичный для
безопасности ущерб обычно состоит в следующем (но не ограничивается этим): потеря
конфиденциальности активов, потеря целостности активов или потеря доступности активов.

11.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
■ Рисунок иллюстрирует
высокоуровневые понятия
безопасности и их взаимосвязь.
■ Владельцы активов будут
анализировать возможные угрозы,
чтобы решить, какие из них актуальны.
В результате анализа определяются
риски. Чтобы уменьшить риски для
активов, реализуются контрмеры.
Решение о приемлемости уровня риска,
создаваемого угрозами (о
достаточности принятых контрмер)
принимает и отстаивает владелец
актива.
Понятия безопасности и их взаимосвязь

12.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
Достаточность контрмер при оценке
анализируется через конструкцию,
называемую заданием по безопасности (ЗБ).
Задание по безопасности включает описание
активов, угроз к активам и контрмер. В нем
демонстрируется, что:
Рисунок иллюстрирует понятия, используемые при оценке
уровня риска, и их взаимосвязь.
■ функциональные
требования
безопасности (ФТБ) удовлетворяют целям
безопасности для ОО;
■ цели безопасности для ОО и цели
безопасности
для
среды
функционирования
противостоят
угрозам;
■ и следовательно ФТБ и цели
безопасности
для
среды
функционирования
противостоят
угрозам.
Понятия, используемые при оценке, и их взаимосвязь

13.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
По стандарту ИСО/МЭК 15408 признают два типа оценки: оценка ЗБ/ОО и оценка профиля защиты
(ПЗ).
Оценка ЗБ/ОО проходит в два этапа:

оценка ЗБ: на этом этапе определяют достаточность ОО и среды функционирования;

оценка ОО: на этом этапе определяют корректность ОО.
Корректность ОО предполагает отсутствие ошибок проектирования и разработки ОО. Поскольку эти
ошибки могут привести к уязвимостям, использование которых может принести ущерб активам. Для
определения корректности ОО могут выполняться различные виды деятельности, такие как:
тестирование ОО, исследование проектных представлений, исследование физической безопасности
среды разработки ОО.
Оценка ОО не включает оценку корректности среды функционирования. Предполагается, что среда
функционирования является на 100% правильным отражением целей безопасности для нее. Результатом
процесса оценки ОО будет:
■ либо утверждение, что не все требования доверия к безопасности (ТДБ) удовлетворены, и поэтому не
достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ;
■ либо утверждение, что все ТДБ удовлетворены, и поэтому достигнут заданный уровень доверия к
тому, что ОО удовлетворяет ФТБ, которые заложены в ЗБ.
Оценка ОО может быть выполнена после завершения разработки ОО или параллельно с ней.

14.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
■ Профиль защиты определяется как «независимая от реализации совокупность
требований безопасности для некоторой категории ОО, отвечающая специфическим запросам
потребителя». Т.е. ЗБ всегда описывает конкретный ОО (например, межсетевой экран Х-2,
версия 3.1), а ПЗ предназначен для описания типа ОО (например, межсетевые экраны
прикладного уровня).
■ Профиль защиты служит основой для создания задания по безопасности, которое можно
рассматривать как технический проект для разработки ОО. Один и тот же ПЗ можно
использовать в качестве шаблона для множества различных ЗБ, которые будут использовать в
различных оценках.
■ Оценка ПЗ является необязательной. Оценка выполняется с применением к нему
критериев класса АРЕ, перечисленных в ИСО/МЭК 15408-3. Цель такой оценки состоит в том,
чтобы продемонстрировать, что ПЗ полный, непротиворечивый, технически правильный и,
таким образом, подходящий для использования в качестве шаблона для формирования других
ПЗ или ЗБ.

15.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
Спецификации ЗБ и ПЗ
приведены в приложениях
стандарта ИСО/МЭК 15408-1.
Взаимосвязь между
содержанием ПЗ, ЗБ и ОО
продемонстрирована на
рисунке.
Результаты оценки могут
быть использованы владельцем
активов при принятии решения
о принятии риска, связанного с
подверженностью
активов
воздействию конкретных угроз.
Взаимосвязь между содержанием ПЗ, ЗБ и ОО

16.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
Функциональные компоненты безопасности
Общие критерии» предусматривают наличие двух типов требований безопасности –
функциональных и доверия. Стандарт ИСО 15408-2 устанавливает структуру и
содержание компонентов функциональных требований безопасности для оценки
безопасности.
Функциональные требования относятся к сервисам безопасности, таким как
идентификация, аутентификация, управление доступом, аудит и т.д. Они
организованы в иерархию «класс – семейство – компонент – элемент». Стандарт
включает в себя следующий каталог из 11 функциональных компонентов.

17.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
1. Класс FAU: Аудит безопасности. Включает в себя распознавание, запись, хранение и анализ
информации, связанной с действиями, относящимися к безопасности. Записи аудита, получаемые в
результате, могут быть проанализированы, чтобы определить, какие действия, относящиеся к
безопасности, происходили, и кто из пользователей за них отвечает. Семейства:
– автоматическая реакция аудита безопасности (определяет реакцию на обнаружение событий,
указывающих на возможное нарушение безопасности);
– генерация данных аудита безопасности (идентифицирует уровень аудита, перечисляет типы
событий, которые потенциально должны подвергаться аудиту с использованием функций
безопасности объекта оценки (ФБО), и определяет минимальный объем связанной с аудитом
информации, которую следует представлять в записях аудита различного типа);
– анализ аудита безопасности (определяет требования для автоматизированных средств, которые
анализируют показатели функционирования системы и данные аудита в целях поиска возможных
или реальных нарушений безопасности);
– просмотр аудита безопасности (определяет требования к средствам аудита, к которым следует
предоставить доступ уполномоченным пользователям для использования при просмотре данных
аудита);
– выбор событий аудита безопасности (определяет требования для выбора совокупности событий,
которые будут подвергаться аудиту во время функционирования ОО из совокупности всех событий,
потенциально подвергающихся аудиту);
– хранение данных аудита безопасности (определяет требования, при выполнении которых функции
безопасности объекта способны создавать и сопровождать журнал аудита безопасности).

18.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
2. Класс FCO: Связь. Содержит два семейства, связанные с уверенностью в идентичности
сторон, участвующих в обмене данными. Эти семейства обеспечивают, что отправитель не
сможет отрицать факт отправления сообщения, а получатель не сможет отрицать факт его
получения. Семейства:
– неотказуемость отправления;
– неотказуемость получения.
3. Класс FCS: Криптографическая поддержка. ФБО могут использовать криптографические
функциональные возможности для содействия достижению некоторых, наиболее важных целей
безопасности: идентификация и аутентификация, неотказуемость, доверенный маршрут,
доверенный канал, разделение данных и др. Класс FCS применяют, когда ОО имеет
криптографические функции, которые могут быть реализованы аппаратными, программноаппаратными и/или программными средствами. Семейства:
– управление криптографическими ключами (определяет требования к генерации,
распределению, уничтожению криптографических ключей и доступу к ним);
– криптографические операции (содержит требования выполнения операций по определенным
алгоритмам с применением криптографических ключей определенной длины).

19.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
4. Класс FDP: Защита данных пользователей. Содержит требования, применяемые к данным
пользователя в пределах ОО при их импорте, экспорте и хранении, а также к атрибутам
безопасности, прямо связанным с данными пользователя. Группы семейств:
– политики функций безопасности для защиты данных пользователя: политика управления
доступом, политика управления информационными потоками;
– виды защиты данных пользователя: функции управления доступом, функции управления
информационными потоками, передача в пределах ОО, защита остаточной информации, откат,
целостность хранимых данных;
– автономное хранение, импорт и экспорт данных: аутентификация данных, экспорт данных из
ОО, импорт данных из-за пределов ОО;
– связь между ФБО: защита конфиденциальности данных пользователя при передаче между
ФБО, защита целостности данных пользователя при передаче между ФБО.

20.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
5. Класс FIA: Идентификация и аутентификация. Содержит требования к функциям установления
и верификации заявленного идентификатора пользователя. Семейства:
– отказы аутентификации (содержит требования к определению числа неуспешных попыток
аутентификации и к действиям ФБО при превышении ограничений на неуспешные попытки
аутентификации);
– определение атрибутов пользователя (позволяет поддерживать атрибуты безопасности
пользователя для каждого пользователя индивидуально);
– спецификация секретов (определяет требования к механизмам, которые реализуют определенную
метрику качества для предоставляемых секретов и генерируют секреты, удовлетворяющие
определенной метрике);
– аутентификация пользователя (определяет типы механизмов и атрибуты аутентификации
пользователя);
– идентификация пользователя (определяет условия, при которых от пользователей требуется
идентифицировать себя);
– связывание пользователь-субъект (определяет требования по созданию и сопровождению
ассоциации атрибутов безопасности пользователя с субъектом, действующим от имени
пользователя);

21.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
6. Класс FMT: Управление безопасностью. Предназначен для спецификации управления
некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут
быть установлены различные роли управления, а также определено их взаимодействие, например
распределение обязанностей. Семейства:
– управление отдельными функциями ФБО;
– управление атрибутами безопасности;
– управление данными ФБО;
– спецификация функций управления;
– роли управления безопасностью;
7. Класс FPR: Приватность. Содержит требования приватности, предоставляющие пользователю
защиту от раскрытия его идентификатора и злоупотребления этим другими пользователями.
Семейства:
– анонимность (требования семейства предоставляют защиту идентификатора пользователя);
– псевдонимность (обеспечивает, чтобы пользователь мог использовать ресурс или услугу без
раскрытия своего идентификатора, оставаясь в то же время ответственным за это использование);
– невозможность ассоциации (обеспечивает, чтобы пользователь мог неоднократно использовать
ресурсы или услуги, не давая в то же время никому возможности связать вместе их использование);
– скрытность (обеспечивает, чтобы пользователь мог использовать ресурс или услугу без
предоставления кому-либо, в особенности третьей стороне, информации об использовании этого
ресурса или этой услуги).

22.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
8. Класс FPT: Защита ФБО. Содержит семейства функциональных требований, которые связаны с
целостностью и управлением механизмами, составляющими ФБО, а также с целостностью данных
ФБО. В некотором смысле компоненты семейств этого класса дублируют компоненты из класса FDP и
могут даже использовать одни и те же механизмы. Семейства:
– безопасность при сбое;
– доступность экспортируемых данных ФБО;
– конфиденциальность экспортируемых данных ФБО;
– целостность экспортируемых данных ФБО;
– передача данных ФБО в пределах ОО;
– физическая защита ФБО;
– надежное восстановление;
– обнаружение повторного использования;
– протокол синхронизации состояний;
– метки времени;
– согласованность данных ФБО между ФБО;
– тестирование внешних сущностей;
– согласование данных ФБО при дублировании в пределах ФБО;
– самотестирование ФБО.

23.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
9. Класс FRU: Использование ресурсов. Содержит три семейства, которые поддерживают доступность
требуемых ресурсов, таких как вычислительные возможности и/или объем памяти:
– отказоустойчивость (предоставляет защиту от недоступности ресурсов, вызванной сбоем ОО);
– приоритет обслуживания (обеспечивает выделение ресурсов наиболее важным задачам и обеспечивает
невозможность монопольного использования ресурсов задачами с более низким приоритетом);
– распределение ресурсов (устанавливает ограничения использования доступных ресурсов, предотвращая
монополизацию ресурсов пользователями).
10. Класс FTA: Доступ к ОО. Определяет функциональные требования к управлению открытием сеанса
пользователя. Семейства:
– ограничение области выбираемых атрибутов;
– ограничение на параллельные сеансы;
– блокирование сеанса;
– предупреждения перед предоставлением доступа к ОО;
– история доступа к ОО;
– открытие сеанса с ОО.
11. Класс FTP: Доверенный маршрут/канал. Семейства класса FTP содержат требования как к
доверенному маршруту связи между пользователями и ФБО, так и к доверенному каналу связи между ФБО
и другими доверенными продуктами ИТ.

24.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
Компоненты доверия к безопасности
■ Основные принципы ИСО/МЭК 15408 состоят в том, что следует четко сформулировать
угрозы безопасности и положения политики безопасности организации, а достаточность
предложенных мер безопасности должна быть продемонстрирована. Основная концепция
стандарта – обеспечение доверия как основы для уверенности в том, что продукт ИТ отвечает
целям безопасности. ИСО/МЭК 15408 обеспечивает доверие с использованием активного
исследования. Активное исследование – это оценка продукта ИТ для определения его свойств
безопасности. Требования доверия к безопасности относятся к технологии разработки,
тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации
и т.д.
■ В ИСО/МЭК 15408-3 требования доверия определяются в виде иерархической структуры.
Наиболее обобщенная совокупность требований доверия называется классом. Каждый класс
содержит семейства доверия, которые разделены на компоненты доверия, содержащие, в свою
очередь, элементы доверия. Классы и семейства используются для обеспечения систематизации
классифицируемых требований доверия, в то время как компоненты применяются для
спецификации требований доверия в ПЗ/ЗБ.

25.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
■ Оценочные уровни доверия (ОУД) образуют возрастающую шкалу, которая позволяет
соотнести получаемый уровень доверия со стоимостью и возможностью достижения этой
степени доверия. Важно обратить внимание, что не все семейства и компоненты ИСО/МЭК
15408 включены в оценочные уровни доверия. Это не означает, что они не обеспечивают
значимое и ожидаемое доверие. Напротив, ожидается, что эти семейства и их компоненты будут
использоваться для усиления ОУД в тех ПЗ и ЗБ, для которых они полезны.
■ В ИСО/МЭК 15408 определены семь иерархически упорядоченных оценочных уровней
доверия для оценки уровня доверия к ОО. Каждый последующий ОУД представляет более
высокое доверие, чем любой из предыдущих. Увеличение доверия от предыдущего ОУД к
последующему достигается заменой какого-либо компонента доверия иерархичным компонентом
из того же семейства доверия (т.е. увеличением строгости, области охвата и/или глубины оценки)
и добавлением компонентов из других семейств доверия (т.е. добавлением новых требований).

В стандарте выделены 8 классов доверия.

26.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
1. Класс APE: Оценка профиля защиты. Оценка ПЗ требуется для демонстрации того, что ПЗ
является полным, непротиворечивым и правильным, а в случае, если ПЗ основывается на одном
или нескольких других ПЗ или пакетах доверия, что этот ПЗ является корректной реализацией
этих ПЗ и пакетов доверия. Эти свойства необходимы для того, чтобы ПЗ можно было
использовать в качестве основы для разработки ЗБ или другого ПЗ. Семейства: введение ПЗ,
утверждения о соответствии, определение проблемы безопасности, цели безопасности,
определение расширенных компонентов, требования безопасности.
2. Класс ASE: Оценка задания по безопасности. Оценка ЗБ требуется для демонстрации того,
что ЗБ является правильным и внутренне непротиворечивым, и если ЗБ основано на одном или
более ПЗ или пакетах доверия, что ЗБ является корректной реализацией этих ПЗ и пакетов. Эти
свойства необходимы для того, чтобы можно было использовать ЗБ в качестве основы при оценке
ОО. Семейства: введения ЗБ, утверждения о соответствии, определение проблемы безопасности,
цели безопасности, определение расширенных компонентов, требования безопасности, краткая
спецификация ОО.

27.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
3. Класс ADV: Разработка. Требования класса ADV предоставляют информацию об объекте
оценки. Сведения, полученные путем изучения этой информации, служат основой для проведения
анализа уязвимостей и тестирования ОО. Семейства включают в себя требования к описанию
проекта и реализации ФТБ; требования к описанию архитектурно-ориентированных особенностей
разделения доменов, обеспечения собственной защиты ФБО и невозможности обхода ФБО;
требования к модели политики безопасности и к прослеживанию соответствия между моделью
политики безопасности и функциональной спецификацией; требования к внутренней структуре
ФБО, которые охватывают такие аспекты, как модульность, деление на уровни и минимизацию
сложности.
4. Класс AGD: Руководства. Предоставляет требования к документации руководств для всех
пользовательских ролей. Для безопасной подготовки и безопасного функционирования ОО
необходимо описать все существенные аспекты, относящиеся к безопасному применению ОО. В
данном классе также рассматриваются случаи непреднамеренных неточностей конфигурации или
ошибок эксплуатации ОО. Подразделяется на два семейства: касающееся руководства пользователя
по подготовительным процедурам (что должно делаться для перевода поставленного ОО в
оцененную конфигурацию в среде его функционирования, как описано в ЗБ) и руководства
пользователя по эксплуатации (что должно делаться в процессе функционирования ОО в его
оцененной конфигурации).

28.

ГОСТ Р ИСО/МЭК 15408 – Общие критерии
5. Класс ALC: Поддержка жизненного цикла. Поддержка жизненного цикла является аспектом
установления организационного порядка и управления в процессе совершенствования ОО во время
его разработки и сопровождения. В состав класса входят семь семейств:
– определение жизненного цикла (содержит требования к описанию верхнего уровня жизненного
цикла ОО);
– возможности управления конфигурацией (УК) (содержит требования к более подробному
описанию управления элементами конфигурации);
– область УК (содержит требования к минимальному набору средств конфигурации для должного
управления элементами конфигурации);
– безопасность разработки (включает требования к физическим, процедурным, организационным
мерам безопасности и другим критериям безопасности);
– инструментальные средства и методы (включает требования к инструментальным средствам
разработки и выполнению стандартов реализации, используемых разработчиком);
– устранение недостатков (включает требования по обработке недостатков безопасности);
– поставка (определяет требования к процедурам, используемым при поставке ОО потребителю).

29.

СПАСИБО ЗА ВНИМАНИЕ!
English     Русский Rules