Шкала | Атрибуты процесса | Рейтинг |
Уровень 1 | Функционирование процесса | В значительной степени или полностью |
Уровень 2 | Функционирование процесса | Полностью |
Менеджмент функционирования | В значительной степени или полностью | |
Менеджмент рабочего продукта | В значительной степени или полностью | |
Уровень 3 | Функционирование процесса | Полностью |
Менеджмент функционирования | Полностью | |
Менеджмент рабочего продукта | Полностью | |
Задание процесса | В значительной степени или полностью | |
Использование процесса | В значительной степени или полностью | |
Уровень 4 | Функционирование процесса | Полностью |
Менеджмент функционирования | Полностью | |
Менеджмент рабочего продукта | Полностью | |
Задание процесса | Полностью | |
Использование процесса | Полностью | |
Количественная оценка процесса | В значительной степени или полностью | |
Контроль процесса | В значительной степени или полностью | |
Уровень 5 | Функционирование процесса | Полностью |
Менеджмент функционирования | Полностью | |
Менеджмент рабочего продукта | Полностью | |
Задание процесса | Полностью |
Окончание табл. 5
|
Как показывает приведенный пример, исходная модель оценки зрелости СММ претерпела достаточно серьезные изменения (интерпретацию) за более чем 10-летний период ее использования для целей оценки зрелости процессов, связанных с разработкой программных продуктов.
Международный стандарт ИСО/МЭК 21827 3.3.2.3. Модель зрелости «Модель зрелости процесса инжиниринга процессов в соответствии безопасности систем (SSE-CMM)» [43] был с требованиями
подготовлен Международной ассоциацией IS0/IEC 21827
по инжинирингу безопасности систем «Инжиниринг
(InternationalSystems Security Engineering безопасности систем — Association — ISSEA). модель зрелости
Модель SSE-CMM разработана на осно- ____________ возможностей»
ве концепций СММ и СММ системной инженерии (SE-CMM), где оба указанных метода являются результатом работ SEI — Института программной инженерии США и Университета Карнеги—Меллоун.
Положения SSE-CMM разработаны как на основе: • общетехнических стандартов:
IS0/IEC 12207/ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств;
IS0/IEC 15288 Systems engineering. System Life Cycle Processes; IS0/IEC 15504 (рассмотрен в предыдущем пункте);
|
|
• стандартов обеспечения информационной безопасности:
IS0/IEC 17799 Information Technology. Code of practice for information security management;
ISO/IEC 13335 Information Technology. Security techniques. Management of information and communications technology security.
SSE-CMM и метод оценки предназначены для использования в качестве:
— средства для проектных организаций, чтобы оценивать их практики инжиниринга безопасности и определять потребности в улучшениях;
— метода, с помощью которого организации по оценке инжиниринга безопасности могут обеспечивать уверенность в возможностях организации, способствующих обеспечению доверия в безопасности производимого ей продукта или эксплуатируемой ею системы;
— стандартного механизма для заказчиков, чтобы оценивать возможности поставщика по проектированию безопасности.
Под инжинирингом безопасности в рассматриваемом документе понимаются:
— непрерывность — знание, приобретенное в прежних работах, используется в будущих проектах;
— повторяемость — направление, по которому обеспечивается уверенность в том, что проекты могут повторять успешные результаты;
— эффективность — способ помочь как разработчикам, так и оценщикам работать более эффективно;
— доверие — уверенность в том, что потребности безопасности учтены.
Модель зрелости для 11 процессов обеспечения безопасности, определенных данным международным стандартом, имеет определенные отличия в базисе оценки от модели СММ.
Таблица б иллюстрирует, как организованы уровни оценки зрелости возможностей инжиниринга безопасности SSE-CMM.
Как показано в таблице б, основой модели зрелости стандарта ISO/ IEC 21827 (уровень 1) является то, что все базовые практики (в стандарте определена 61 базовая практика) относительно 11 процессов безопасности, идентифицированных в стандарте, выполнены. На этом фундаменте «выстраивается» и вся последующая структура уровней зрелости. Общим, пожалуй, для моделей зрелости СММ и IS0/IEC 21827
Таблица 6
|
Уровни зрелости IS0/IEC 21827 (SSE-CMM) |
является то, что в обеих моделях третий уровень основываются на неких стандартизированных процессах, а пятый уровень предполагает непрерывное улучшение процессов.
|
|
Пять уровней, определенных SSE-CMM, представлены на рисунке 26.
Базовые практики, на которых основываются положения IS0/IEC 21827, составляющие 11 процессов безопасности стандарта, последовательно реализуют риск-ориентированный подход к обеспечению информационной безопасности, где наряду с вопросами безопасности предполагается учитывать и экономические факторы, такие, как выделение необходимых ресурсов и эффективное их использование.
3.3.2.4. Модель зрелости C0BIT [35] является стандартом, опубли- стандарта C0BIT кованным Фондом аудита и контроля информационных систем (Information Systems Audit and Control Foundation — ISACF). Целями создания COBIT, как комментируют разработчики, является формирование согласованного набора стандартов для управления, контроля и аудита информационных систем, которые могут быть применены для ИС масштаба предприятия: от уровня локальных вычислительных сетей до крупных распределенных вычислительных комплексов. C0BIT базируется на процессном подходе (выделено 34 процесса, ориентированных на 318 объектов контроля), где процессы структурированы по областям (доменам): планирование и организация, приобретение и реализация (внедрение), поставка и поддержка, контроль (мониторинг).
Концептуальное ядро C0BIT может рассматриваться с трех точек зрения:
1) информационные критерии;
2) ИТ-ресурсы;
3) ИТ-процессы.
C0BIT определяет ИТ-ресурсы следующим образом:
• данные — это объекты в самом широком смысле этого слова (т.е. внутренние и внешние): структурированные и неструктурированные, графические, звуковые и т.д.;
• приложения — понимаются как сумма выполняемых вручную и программных процедур;
• технология — аппаратные средства, операционные системы, системы управления базами данных, средства для обеспечения работы сетей, мультимедийные средства и т.д.;
Поручение
выполнения
Планирование
выполнения
Дисциплинарное
|
|
выполнение
Прослеживание
выполнения
Верификация
ІІ""ІІ |
Не выполненный |
І»»ЦП» |
Базовые практики выполнены |
выполнения
Определение
стандартного
процесса
Адаптация
стандартного
процесса
Использование
данных
Выполнение
определенного
процесса
Установление
измеримых целей
качества
Определение
возможности процесса для достижения целей
Объективное
руководство выполнением
Установление
количественных целей
эффективности
процесса
Улучшение
эффективности
процесса
Рис. 26. Уровни возможности представляют зрелость организаций по инжинирингу безопасности
• оборудование — все ресурсы, предназначенные для размещения в них информационных систем и обеспечения их работы;
• люди — имеются в виду квалификация персонала, его знания и способность эффективно работать с информационными системами и услугами (планирование, организационные работы, приобретение, поставка, поддержка и мониторинг).
Для каждого из 34 процессов С0В1Т определяет:
— идентификацию процесса;
— указание цели процесса;
— указание факторов возможности реализации (как обеспечивать контроль данного процесса, чтобы получить уверенность в достижении целей этого процесса);
— ИТ-ресурсы с указанием их отношения к данному процессу;
— свойства (информационные критерии) с указанием их относительной важности (П — первостепенная важность, В — второстепенная важность, нет никакой буквы — относительно малая важность, но это не означает, что данным критерием можно пренебречь);
— критические факторы успеха;
— ключевые показатели достижения цели — аналог измеряемых атрибутов процессов;
— ключевые показатели эффективности — аналог желаемых значений атрибутов процессов;
— модель зрелости для данного процесса. Для каждого из 34 процессов определяется своя уникальная модель зрелости в терминах данного процесса.
Для контроля над ИТ-процессами С0В1Т предлагает шкалу, по которой организация может определить уровень развития своих процессов — от «несуществующего» до «оптимизированного» (от 0 до 5). Подход к оценке зрелости С0В1Т основан на модели СММ с тем отличием, что введено понятие «нулевой уровень зрелости» — «несуществующий». Общий подход к оценке зрелости и представление универсальной модели зрелости стандарта С0В1Т иллюстрирует рисунок 27.
Сама универсальная модель оценки зрелости стандарта С0В1Т определена так, как иллюстрирует таблица 7.
Как отмечается в стандарте модели зрелости, процессы не привязаны к конкретной отрасли и не всегда применимы, пригодность определяется видом деятельности организации и областью применения
Повторяющийся
Начальный 1 |
Определенный |
> |
|1Ш| innt !!цци Несуществующий |
Управляемый |
I -В- о тз ш с 1 X о |
Оптимизированный 5
Текущий статус организации
Требования международных стандартов
Передовая практика в отрасли
ИСПОЛЬЗУЕМЫЕ СИМВОЛЫ |
О t * |
Стратегия развития предприятия
0 Несуществующий
1 Начальный
2 Повторяющийся
3 Определенный
4 Управляемый
5 Оптимизированный
— Процессы используются разово
или в отдельных случаях и неорганизованы
— Процессы следуют определенной модели
— Процессы документально оформлены
и доведены до сведения заинтересованных лиц
— Процессы контролируются и оцениваются
CT СП со о 3 О) о п |
ИСПОЛЬЗУЕМАЯ ШКАЛА ОЦЕНОК — Процессы управления не применимы вообще |
0 тз -1 CD 1 S со ш с S s< |
— Использование передового опыта и наличие автоматизации
Рис. 27. Универсальная модель зрелости стандарта С0ВІТ