ГОСТ Р ИСО/МЭК18045— 2008
Оценщиктакже делает заключение, действительно ли каждая цель безопасности, которая прослеже
на к угрозе, будучи достигнутой, вносит вклад в устранение, снижение или компенсацию последствий
реализации данной угрозы.
Примеры устранения угрозы:
- устранениедля источника угрозы (нарушителя) возможности использовать какой-либо метод напа
дения:
- устранение мотивации источника угрозы (нарушителя) путем применения сдерживающих факторов;
-устранение источника угрозы (например, отключение от сети машин, часто приводящих к фатально
му сбою этой сети).
Примеры снижения угрозы:
- ограничение для источника угрозы возможности использования методов нападения;
- ограничение возможностей источников угрозы;
- снижение вероятности успешного результата инициированного нападения;
- повышенные требования к компетентности и ресурсам источника угрозы.
Примеры компенсации последствий реализации угрозы:
- частое создание резервных копий активов.
- наличие резервных копий ОО.
- частая смена ключей, используемых в течение сеанса связи, чтобы последствия компрометации
одного ключабыли относительно незначительными.
Несмотря на то. что прослеживание целей безопасности к угрозам вобосновании целей безопасности
может быть частью логического обоснования, само по себе оно не является логическим обоснованием.
Даже в том случав, когда цель безопасности является только заявлением, отражающим намерение предо
твратить реализацию конкретной угрозы, все равно требуется логическое обоснование, хотя вданном слу
чае оно может быть минимальным.
8.3.4.3.5 Шаг оценивания APE_OBJ.1-5
ИСО/МЭК 15408-3APE„OBJ.1.5С: Обоснование целей безопасности должно демонстрировать, что
изложенные цели безопасностипригодны для охвата всехустановленныхположений политикибезопас
ности организации и предположений.
Оценщикдолжен исследовать «Обоснование целей безопасности», чтобы сделать заключение, со
держится ли в немдля каждого аспекта политики безопасности организации приемлемое логическое обо
снование того, что цели безопасности покрывают данный аспект политики безопасности организации.
Если ни одна цель безопасности не прослежена к политике безопасности организации, то результат
данного шага оценивания отрицательный.
Оценщикделает заключение, демонстрируетли логическое обоснование для политики безопасности
организации то. что. если все цели безопасности, прослеженные к политике безопасности организации,
достигнуты, то политика безопасности организации реализована.
Оценщиктакже делает заключение, действительно ли каждая цель безопасности, которая прослеже
на к политике безопасности организации, будучи достигнутой, вносит вклад в реализацию политики безо
пасности организации.
Несмотря на то. что прослеживание целей безопасности к политике безопасности организации
в обосновании целей безопасности может быть частью логического обоснования, само по себе оно не
является логическим обоснованием. Даже в том случае, когда цель безопасности является только заявле
нием, отражающим намерение реализовать конкретную политику безопасности, все равно требуется логи
ческое обоснование, хотя в данном случае оно может быть минимальным.
8.3.4.3.6 Шаг оценивания APE_OBJ.1-6
Оценщикдолжен исследовать «Обоснование целей безопасности», чтобы сделать заключение, со
держится ли в немдля каждого предположения приемлемое логическое обоснование того, что цели безо
пасности для среды пригодны для покрытия данного предположения.
Если ни одна цель безопасности для среды не прослежена к приведенному предположению, то ре
зультатданного шага оценивания отрицательный.
Предположение является или предположением относительно предполагаемого использования ОО.
или предположением относительно среды использования ОО.
Оценщикделает заключение, демонстрирует ли логическое обоснованиедля предположения относи
тельно предполагаемого использования ОО то.что. если все цели безопасности для среды, прослеженные
кданному предположению, достигнуты, предполагаемое использование ОО поддерживается.
18