суббота, 17 декабря 2022 г.

США: Национальный институт стандартов и технологий опубликовал обновлённое руководство NIST SP 800-160v1r1 по разработке надёжных защищённых систем

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 17 ноября 2022 года выложил на своём сайте новую редакцию специальной публикации NIST SP 800-160v1r1 «Разработка надёжных защищённых систем» (Engineering Trustworthy Secure Systems) см. https://csrc.nist.gov/publications/detail/sp/800-160/vol-1-rev-1/final .

Документ объёмом 195 страниц доступен по адресу https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1r1.pdf . Он заменил ранее действовавший документ NIST SP 800-160 Vol.1.

В аннотации на документ отмечается следующее:

«В настоящей публикации описываются основы для установления принципов, понятий, действий и задач для проектирования и разработки надёжных защищённых систем. Такие принципы, понятия, действия и задачи могут эффективно применяться в рамках усилий по системной инженерии для формирования общепринятого подхода к обеспечению безопасности в любой системе, независимо от её назначения, типа, области применения, размера, сложности или этапа её жизненного цикла.

Целью данной специальной публикации является продвижение в системной инженерии разработки надёжных систем для оспариваемых операционных сред (обычно называемой инженерией системной безопасности). Ожидается, что она послужит основой для разработки образовательных и обучающих программ, систем профессиональной сертификации и иных критериев оценки.

Мой комментарий: Под «оспариваемой средой» (contested environment) понимается «среда, в которой противник обладает возможностями лишить нас возможности действовать или ограничить нашу свободу действий».

… NIST опубликовал новую, пересмотренную редакцию специальной публикации NIST SP 800-160, том 1 «Разработка надёжных защищённых систем». В данной окончательной версии новой редакции содержатся значительные изменения в содержании и подаче материала, включая усиленный акцент на важности системной инженерии и отношение к инженерии системной безопасности как к критически-важной суб-дисциплине, необходимой для создания надежных защищённых систем. С этой точки зрения безопасность рассматривается как возникающее свойство (emergent property) системы. Требуется дисциплинированный и строгий инженерный процесс для обеспечения возможностей обеспечения безопасности, необходимых для защиты активов заинтересованных сторон от утраты и ущерба при одновременном выполнении миссии и достижении успеха в деловой деятельности.

Выведение безопасности из ее традиционных рамок и рассмотрение её как возникающего свойства системы помогает обеспечить возможность одного только авторизованного поведения системы и получение авторизованных результатов, - во многом подобно инженерным процессам, касающимся обеспечения безопасности, надёжности, доступности и удобства сопровождения и обслуживания, используемым при создании космических кораблей, самолётов и мостов. Отношение к безопасности как к подразделу системной инженерии способствует всестороннему принятию решений в целевой области, по мере того, как заинтересованные стороны непрерывно решают вопросы, связанные с затратами, графиком и производительностью, а также с неопределенностями, связанными с усилиями по разработке системы (т.е. с рисками – Н.Х.).

В частности, в итоговой версии публикации:

  • Ещё раз делается акцент на принципах и понятиях проектирования надёжных защищённых систем, а контент распределяется по нескольким заново переработанным главам;

  • Для удобства использования, детальные описания процессов жизненного цикла системы и вопросов безопасности переносятся в отдельные приложения;

  • Упрощены принципы проектирования надежных защищённых систем, за счёт исключения двух ранее использовавшихся категорий принципов проектирования;

  • Появилось новое введение в процессы жизненного цикла системы, в котором описаны ключевые взаимосвязи между этими процессами;

  • Более ясно описана ключевая терминология системной инженерии и инженерии системной безопасности;

  • Упрощена структура процессов, действий, задач и ссылок для жизненного цикла системы;

  • Содержатся дополнительные ссылки на международные стандарты и технические руководства, в интересах лучшей поддержки аспектов безопасности процесса системной инженерии.»

Содержание документа следующее:

Предисловие
Благодарности
1. Введение
2. Обзор системной инженерии
3. Понятия в области безопасности систем
4. Концепция проектирования безопасности систем
Литература
Приложение А. Сокращения
Приложение B. Глоссарий
Приложение C. Политика безопасности и требования к безопасности
Приложение D. Надёжное защищённое проектирование
Приложение E. Принципы надёжного защищённого проектирования
Приложение F. Надёжность и обеспечение уверенности
Приложение G. Обзор процессов жизненного цикла системы
Приложение H. Технические процессы
Приложение I. Процессы технического менеджмента
Приложение J. Организационные процессы, поддерживающие проект
Приложение K. Процессы согласования
Приложение L. Журнал изменений

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-160/vol-1-rev-1/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1r1.pdf

Комментариев нет:

Отправить комментарий