Приложение В (справочное). Положения по соответствию ИСО/МЭК 33004. Национальный стандарт ГОСТ Р 57640-2017/ISO/IEC TS 33052:2016 "Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 05.09.2017 N 1015-ст)

Приложение В
(справочное)

Положения
по соответствию ИСО/МЭК 33004

В.1 Общее

ЭМП в настоящем стандарте является пригодной для использования оценки процесса, выполняемой в соответствии с ИСО/МЭК 33004.

В ИСО/МЭК 33004:2015 (подраздел 5.3) приведены требования для ЭМП, пригодной для оценки процесса согласно ИСО/МЭК 33002. Настоящий стандарт устанавливает требования для ЭМП и описывает, как стандарт удовлетворяет этим требованиям. В каждом из следующих подразделов текст, представленный в рамке, приведен из ИСО/МЭК 33004, а текст, расположенный ниже рамки, описывает требования, которым отвечает настоящий стандарт.

В.1.1 Требования для ЭМП

ИСО/МЭК 33004 Информационные технологии. Оценка процесса. Требования к эталонным моделям процесса, моделям оценки процесса и моделям зрелости 5.3.1 Эталонная модель процесса должна содержать: a) декларацию области применения ЭМП; b) описание отношений между эталонной моделью процесса и ее намеченным контекстом использования; c) описания процессов в рамках эталонных моделей процесса согласно требованиям подраздела 5.4; d) описание отношений между процессами, определенными в пределах ЭМП.

- Описание области - управление информационной безопасности.

- Описание процессов приведено в разделе 5 настоящего стандарта.

- ЭМП предназначена для использования, как описано во введении к настоящему стандарту.

- Описание отношений между процессами, определенными в пределах ЭМП, поддерживаются в соответствии с рисунком 2 настоящего стандарта.

ИСО/МЭК 33004 Информационные технологии. Оценка процесса. Требования к эталонным моделям процесса, моделям оценки процесса и моделям зрелости 5.3.2 Эталонная модель процесса должна обеспечить документирование множества интересов со стороны конкретной модели и действий, предпринимаемых для достижения соответствия, а именно: a) соответствующее множество интересов должно быть описано с использованием различных характеристик или задано; b) степень достижения соответствия должна быть задокументирована; c) если для достижения соответствия не предпринимается никаких действий, то это также должно быть задокументировано.

- Соответствующие сообщества по интересам и способы их использования ЭМП приведены во введении к настоящему стандарту.

- Настоящий стандарт удовлетворяет критериям консенсуса, принятым в ИСО/МЭК СТК1.

- Поскольку было достигнуто согласие, никаких дополнительных действий не требуется.

ИСО/МЭК 33004 Информационные технологии. Оценка процесса. Требования к эталонным моделям процесса, моделям оценки процесса и моделям зрелости 5.3.3 У процессов, определенных в пределах ЭМП, должны быть уникальные идентификация и описания.

- Описания процесса уникальны. Идентификация предоставлена уникальным названием и идентификатором каждого процесса по настоящему стандарту.

В.1.2 Описание процесса

ИСО/МЭК 33004 Информационные технологии. Оценка процесса. Требования к эталонным моделям процесса, моделям оценки процесса и моделям зрелости 5.4 Описания процесса Основные элементы ЭМП - это описания процессов в рамках области применения модели. Описания процесса в ЭМП включают в себя определение цели процесса, описывающей на высоком уровне обобщенные задачи выполнения процесса вместе с множеством выходных результатов, демонстрирующих успешное достижение этой цели. Описание процесса должно отвечать следующим требованиям: a) процесс должен быть описан в терминах его цели и результатов; b) множество результатов процесса должно быть необходимым и достаточным для достижения цели процесса; c) описания процесса не должны содержать или подразумевать аспекты характеристик качества процесса вне главного уровня любой соответствующей системы измерения процесса по ИСО/МЭК 33003. Выходные результаты процесса описывают что-то одно из следующего: - производство артефакта; - существенное изменение состояния; - удовлетворение заданных ограничений, например требований, целей и т.д.