пятница, 1 июня 2018 г.

Новый британский стандарт BS 10754-1:2018 обеспечения доверия к системам, программному обеспечению и услугам


В феврале 2018 года Британский институт стандартов (BSI) опубликовал интересный национальной стандарт BS 10754-1:2018 «Информационные технологии. Доверие к системам. Требования к стратегическому и оперативному управлению» (Information technology. Systems trustworthiness. Governance and management specification), см. https://shop.bsigroup.com/ProductDetail?pid=000000000030351844

Здесь стоит отметить, что тема доверия к электронным документам и информации, а также к поддерживающим их инфраструктуре и технологиям в последнее время стала очень популярной. В данном стандарте заслуживающим доверия считают объект (см. п.3.29), который «надлежащим образом решает вопросы защищённости и безопасности, надёжности, готовности к работе и живучести».


Как отмечается в документе, задача стандарта – способствовать повышению доверия к системам, программному обеспечению и услугам. Данный британский стандарт содержит требования и рекомендации по обеспечению доверия к системам, программному обеспечению и услугам, которая призваны стать широко используемым подходом, который может быть настроен с учетом специфических особенностей любой организации и программного обеспечения.

Требования данного стандарта определяют общие принципы эффективного обеспечения доверия и включают технические, физические, культурные и поведенческие меры, равно как и эффективное руководство и стратегическое управление. В нём описаны необходимые инструменты, методы и процессы, а также рассмотрены вопросы защиты, надежности, готовности к работе, доступность, живучести и безопасности.

При этом стандарт детально не регламентирует те процессы или действия, которые организация применяет для достижения соответствующих результатов. Эти процессы описаны в иных стандартах и могут быть установлены самой организацией.

В стандарте пятью ключевыми аспектами доверия (trustworthiness) считаются безопасность (safety), надёжность (reliability), готовность к работе (availability), живучесть/устойчивость (resilience) и защищённость (security).

Стандарт включает в себя всеохватывающую «Концепцию системы обеспечения доверия» (Trustworthiness System Framework, TSFr), которая представляет собой нейтральный в отношении сферы применения и способа реализации подход к использованию существующего большого объема знаний, включая вопросы защищённого функционирования, информационной безопасности, а также проектирования систем и программного обеспечения. Концепция «работает» как свод хорошей практики по обеспечению доверия к программному обеспечению.

Стандарт может применяться любыми организациями, стремящимися внедрить у себя практику обеспечения доверия к системам. Его могут использовать представители всех трёх основных сегментов ИТ-отрасли, а именно:
  • Те, кто устанавливает требования (сфера закупок / приобретения);

  • Те, кто реализует решения (разработчики и системные интеграторы);

  • Конечные пользователи программного обеспечения.
Применение данного стандарта поможет организациям улучшить:
  • Меры и средства контроля и управления;

  • Эффективность и продуктивность оперативной деятельности;

  • Обучение в организации;

  • Уверенность и доверие заинтересованных сторон;

  • Управление рисками;

  • Деловую репутацию;

  • Вероятность достижения организацией своих целей.
Способствуя увеличению доверия к программному обеспечению, стандарт может способствовать получению значительной экономии в рамках национальной экономики, а также снизить для ряда отраслей риск крупномасштабных чрезвычайных ситуаций.

Содержание стандарта следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст
5. Метод
6. Реализация на практике
Приложение A (нормативное): Ключевые меры обеспечения доверия
Приложение В (справочное): Взаимосвязь мер BS 10754-1 с действиями по обеспечению доверия (Trustworthiness Activities, ТА) в рамках жизненного цикла системы
Приложение C (справочное): Нефункциональные требования
Приложение D (справочное): Архетипы ИТ-систем
Библиография
В настоящее время идёт работа над другими частями стандарта:
  • Часть 2: Варианты обеспечения уверенности (Assurance cases);

  • Часть 3: Меры и средства обеспечения безопасности приложений (Application security controls).
Мой комментарий: Для специалистов по управлению документами вопрос доверия к системам становится актуальным, поскольку всё чаще одним из условий доверия к электронным документам, хранимым в ИТ-системах, является как раз доверие к самим этим системам. В ряде стран такая идея уже отражена нормативно-правовой базе, регламентирующей работу судебной системы и процессы представления доказательств.

Источник: сайт Британского института стандартов
https://shop.bsigroup.com/ProductDetail?pid=000000000030351844

Комментариев нет:

Отправить комментарий