В феврале 2018 года Британский институт стандартов (BSI) опубликовал интересный национальной стандарт BS 10754-1:2018 «Информационные технологии. Доверие к системам. Требования к стратегическому и оперативному управлению» (Information technology. Systems trustworthiness. Governance and management specification), см. https://shop.bsigroup.com/ProductDetail?pid=000000000030351844
Здесь стоит отметить, что тема доверия к электронным документам и информации, а также к поддерживающим их инфраструктуре и технологиям в последнее время стала очень популярной. В данном стандарте заслуживающим доверия считают объект (см. п.3.29), который «надлежащим образом решает вопросы защищённости и безопасности, надёжности, готовности к работе и живучести».
Как отмечается в документе, задача стандарта – способствовать повышению доверия к системам, программному обеспечению и услугам. Данный британский стандарт содержит требования и рекомендации по обеспечению доверия к системам, программному обеспечению и услугам, которая призваны стать широко используемым подходом, который может быть настроен с учетом специфических особенностей любой организации и программного обеспечения.
Требования данного стандарта определяют общие принципы эффективного обеспечения доверия и включают технические, физические, культурные и поведенческие меры, равно как и эффективное руководство и стратегическое управление. В нём описаны необходимые инструменты, методы и процессы, а также рассмотрены вопросы защиты, надежности, готовности к работе, доступность, живучести и безопасности.
При этом стандарт детально не регламентирует те процессы или действия, которые организация применяет для достижения соответствующих результатов. Эти процессы описаны в иных стандартах и могут быть установлены самой организацией.
В стандарте пятью ключевыми аспектами доверия (trustworthiness) считаются безопасность (safety), надёжность (reliability), готовность к работе (availability), живучесть/устойчивость (resilience) и защищённость (security).
Стандарт включает в себя всеохватывающую «Концепцию системы обеспечения доверия» (Trustworthiness System Framework, TSFr), которая представляет собой нейтральный в отношении сферы применения и способа реализации подход к использованию существующего большого объема знаний, включая вопросы защищённого функционирования, информационной безопасности, а также проектирования систем и программного обеспечения. Концепция «работает» как свод хорошей практики по обеспечению доверия к программному обеспечению.
Стандарт может применяться любыми организациями, стремящимися внедрить у себя практику обеспечения доверия к системам. Его могут использовать представители всех трёх основных сегментов ИТ-отрасли, а именно:
- Те, кто устанавливает требования (сфера закупок / приобретения);
- Те, кто реализует решения (разработчики и системные интеграторы);
- Конечные пользователи программного обеспечения.
Применение данного стандарта поможет организациям улучшить:
- Меры и средства контроля и управления;
- Эффективность и продуктивность оперативной деятельности;
- Обучение в организации;
- Уверенность и доверие заинтересованных сторон;
- Управление рисками;
- Деловую репутацию;
- Вероятность достижения организацией своих целей.
Содержание стандарта следующее:
ВведениеВ настоящее время идёт работа над другими частями стандарта:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст
5. Метод
6. Реализация на практике
Приложение A (нормативное): Ключевые меры обеспечения доверия
Приложение В (справочное): Взаимосвязь мер BS 10754-1 с действиями по обеспечению доверия (Trustworthiness Activities, ТА) в рамках жизненного цикла системы
Приложение C (справочное): Нефункциональные требования
Приложение D (справочное): Архетипы ИТ-систем
Библиография
- Часть 2: Варианты обеспечения уверенности (Assurance cases);
- Часть 3: Меры и средства обеспечения безопасности приложений (Application security controls).
Источник: сайт Британского института стандартов
https://shop.bsigroup.com/ProductDetail?pid=000000000030351844
Комментариев нет:
Отправить комментарий