4.开发详细安全设计
信息保护设计的发展是迭代的,涉及SE和’ISSE团队以及团队内的系统和组件工程师之间的交互。促使推荐设计的决策涉及ISSE团队的持续评估,将预期风险与系统安全性要求进行比较。ISSE团队生成C&A流程所需的设计文档。该文档可以对风险分析师进行设计的独立评估,然后风险分析师根据漏洞提供反馈意见。
在开发详细的安全设计中,信息系统安全工程师将确保遵守安全架构,执行权衡研究和定义系统安全设计元素,包括:
◇将安全机制分配给系统安全设计元素。
◇确定候选商业现货( COTS)/政府现货(GOTS)安全产品。
◇识别自定义安全产品。
◇资格元素和系统接口(内部和外音5)。
◇制定规范(如通用标准保护配置文件)。
信息保护设计指定了系统及其组件,但并不决定具体的组件或供应商。特定组件的选择是实施系统活动的一部分。