4.開發(fā)詳細(xì)安全設(shè)計

信息保護設(shè)計的發(fā)展是迭代的，涉及SE和’ISSE團隊以及團隊內(nèi)的系統(tǒng)和組件工程師之間的交互。促使推薦設(shè)計的決策涉及ISSE團隊的持續(xù)評估，將預(yù)期風(fēng)險與系統(tǒng)安全性要求進行比較。ISSE團隊生成C&A流程所需的設(shè)計文檔。該文檔可以對風(fēng)險分析師進行設(shè)計的獨立評估，然后風(fēng)險分析師根據(jù)漏洞提供反饋意見。

在開發(fā)詳細(xì)的安全設(shè)計中，信息系統(tǒng)安全工程師將確保遵守安全架構(gòu)，執(zhí)行權(quán)衡研究和定義系統(tǒng)安全設(shè)計元素，包括：

◇將安全機制分配給系統(tǒng)安全設(shè)計元素。

◇確定候選商業(yè)現(xiàn)貨( COTS)／政府現(xiàn)貨(GOTS)安全產(chǎn)品。

◇識別自定義安全產(chǎn)品。

◇資格元素和系統(tǒng)接口（內(nèi)部和外音5）。

◇制定規(guī)范（如通用標(biāo)準(zhǔn)保護配置文件）。

信息保護設(shè)計指定了系統(tǒng)及其組件，但并不決定具體的組件或供應(yīng)商。特定組件的選擇是實施系統(tǒng)活動的一部分。