ГОСТРИСО/МЭКТО 15446— 2008
сформулирована, тем не менее, является целесообразным формулирование угрозс целью максимального
облегчения использования ПЗ иотражения более глубокого понимания аспектов среды безопасности ОО.
Важным этапом обеспечения безопасности ОО является анализ рисков, так как. если он не выполнен
должным образом. ОО будет не в состоянии обеспечить адекватную защиту активов, в результате чего
активы организации могут остаться подверженными неприемлемому уровню риска. Следует отметить, что
подробные рекомендации по организации процесса идентификации угрозактивам (являющегося одним из
самых трудоемких этапов анализа риска организации) в настоящий стандарт не включены. Тем не менее,
ниже излагаются общие принципы идентификации угроз.
8.3.2 Идентификация угроз
8.3.2.1 Понятиеугрозы
Угрозы характеризуются следующими аспектами: источник угрозы: предполагаемый метод нападе
ния; уязвимости, которые могут быть использованы для нападения (реализации угрозы); и активы, подвер
женные нападению.
П р и м е ч а н и е — Нарушения ПБОр не должны трактоваться как угрозы.
В целях идентификации угроз необходимо выяснить:
a) какие активы требуют защиты:
b
) кто или что является источником угрозы:
c) от каких методов нападения или нежелательных событий активы должны быть защищены.
8.3.2.2 Идентификация активов
Активы представляют собой информацию или ресурсы, которыедолжны быть защищены средствами
ОО. Активы имеют определенную ценность для их владельцев (человека или организации), а также (очень
часто) — и для источников угроз. Последние могут пытаться, вопреки желаниям и интересам
владельцев активов, скомпрометировать их. например, путем нарушения конфиденциальности,
целостности идоступ ности данных активов.
Активы, которые надлежит учесть разработчику ПЗ и ЗБ. могут быть представлены в виде первичных
активов организации (например, денежные активы, персонал и репутация организации). Под владельцем
активов понимают субъекты, ответственные за сохранность активов в пределах системы ИТ (в которой
размещен ОО). Различают владельцев первичных активов (их можетбыть много) и владельца ОО. а также
владельцев информации, хранимой и обрабатываемой ОО. Поэтому в ПЗ и ЗБ целесообразно при описа
нии активов идентифицировать владельцев первичных активов.
В примере ПЗ для третьейдоверенной стороны (ТДС) (см. приложение F) различные криптографи
ческие ключи будут иметь разных владельцев: подписчиков ТДС и владельца самого ТДС. Другой
пример — медицинские системы ИТ. Хранимая и обрабатываемая в них информация не имеет одного вла
дельца. а предназначена для использования всеми заинтересованными сторонами в соответствии с задан
ным набором правил ее использования и контроля такого использования.
Активы обычно включают в себя информацию, которая хранится, обрабатывается или передается в
системе ИТ. При этом активы могут являться внешними по отношению к самому ОО (но находиться в
пределах его ИТ-среды). В качестве примера можно привести информацию и ресурсы, защищаемые меж
сетевыми экранами или системами обнаружения вторжений.
В качестве активов, подлежащих защите, необходимо идентифицировать информацию авторизации и
реализацию ИТ. которые косвенно относятся кпредметам задания требований безопасности. Идентифика
цию таких активов можно рассматривать как составляющую процесса идентификации контрмер, необходи
мыхдля защиты первичных активов (или их представления). Нецелесообразно наданной стадии разработ ки
ПЗ и ЗБ идентифицировать как активы информацию и ресурсы, связанные с представлением самого ОО, и
только косвенно связанные с первичными активами. Такая детализация может привести к:
a) нечеткому пониманию основного предназначения ОО (обеспечение защиты первичных активов
или их представлений в пределах ИТ-среды);
b
) слишком раннему (еще до описания угроз и целей безопасности) ознакомлению пользователя ПЗ
и ЗБ сдеталями реализации.
8.3.2.3 Идентификация источников угроз
Источником угроз могутбыть люди либо иные не связанные сдеятельностью человека факторы. При
этом основное внимание обычно уделяется угрозам, связанным со злонамеренной илидругой деятельно
стью человека.
При идентификации источников угроз необходимо рассмотреть:
а)кто и по каким причинам может быть заинтересован в компрометации идентифицированных
активов:
10