4.開(kāi)發(fā)詳細(xì)安全設(shè)計(jì)

信息保護(hù)設(shè)計(jì)的發(fā)展是迭代的，涉及SE和’ISSE團(tuán)隊(duì)以及團(tuán)隊(duì)內(nèi)的系統(tǒng)和組件工程師之間的交互。促使推薦設(shè)計(jì)的決策涉及ISSE團(tuán)隊(duì)的持續(xù)評(píng)估，將預(yù)期風(fēng)險(xiǎn)與系統(tǒng)安全性要求進(jìn)行比較。ISSE團(tuán)隊(duì)生成C&A流程所需的設(shè)計(jì)文檔。該文檔可以對(duì)風(fēng)險(xiǎn)分析師進(jìn)行設(shè)計(jì)的獨(dú)立評(píng)估，然后風(fēng)險(xiǎn)分析師根據(jù)漏洞提供反饋意見(jiàn)。

在開(kāi)發(fā)詳細(xì)的安全設(shè)計(jì)中，信息系統(tǒng)安全工程師將確保遵守安全架構(gòu)，執(zhí)行權(quán)衡研究和定義系統(tǒng)安全設(shè)計(jì)元素，包括：

◇將安全機(jī)制分配給系統(tǒng)安全設(shè)計(jì)元素。

◇確定候選商業(yè)現(xiàn)貨( COTS)／政府現(xiàn)貨(GOTS)安全產(chǎn)品。

◇識(shí)別自定義安全產(chǎn)品。

◇資格元素和系統(tǒng)接口（內(nèi)部和外音5）。

◇制定規(guī)范（如通用標(biāo)準(zhǔn)保護(hù)配置文件）。

信息保護(hù)設(shè)計(jì)指定了系統(tǒng)及其組件，但并不決定具體的組件或供應(yīng)商。特定組件的選擇是實(shí)施系統(tǒng)活動(dòng)的一部分。