ГОСТ Р ИСО/МЭК ТО 15446 — 2008
Необходимо отметить, что сформулированные предположения о среде могут быть направлены на
противостояние некоторым угрозам, которые могли бы повлиять на безопасное функционирование ОО. Из
этого следует, что у разработчика ПЗ и ЗБ имеется некоторая свобода действий в принятии решения о том.
какие аспекты безопасности необходимо рассматривать при формулировании предположений о сре де. а
какие — при формулировании угроз, которым должна противостоять среда ОО. Приемлемо любое
решение, так как предположения и угрозы вдальнейшем отражаются на целях безопасности. При выборе
между двумя возможными решениями необходимо стремиться к тому, чтобы обеспечить наилучшее пони
мание пользователем ПЗ и ЗБ аспектов среды безопасности ОО. Как правило, конкретные нападения дол
жны трактоваться как угрозы, в то время какболее общие формы нападений — учитываться при формули
ровании предположений. При этом важно, чтобы каждый аспект среды безопасности был сформулирован
только один раз — в виде предположения безопасности либо в виде угрозы.
8.4 Идентификация и спецификация политики безопасности организации
Раздел «Среда безопасности ОО» должен содержать описание правил ПБОр. которым должен сле
довать ОО. В тоже время, формулировка ПБОр может не включаться, если цели безопасности формулиру
ются исключительно на основе угроз: другими словами, в случае, если аспекты среды безопасности ОО
полностью определяются угрозами.
Под ПБОр понимается совокупность правил, процедур, практических приемов или руководящих прин
ципов в области безопасности, которыми руководствуется организация в своей деятельности. При необхо
димости. ПБОр может реализовываться ОО его средой либо некоторой их комбинацией.
Если ПЗ и ЗБ определяет и ПБОр. и угрозы, то следует кратко излагать в разделе «Среда безопасно
сти ОО» аспекты среды безопасности ОО. Так, например, нецелесообразно включать в ПЗ и ЗБ правило
ПБОр. являющееся простой переформулировкой угрозы.
Например, если идентифицирована угроза «Неуполномоченный субъект может получитьлогический
доступ к 00».то не имеет смысла включать в ПЗ и ЗБ следующее правило ПБОр: «Пользователи должны
быть идентифицированы до предоставления имдоступа».
Вышесказанное связано с тем, что сформулированное таким образом правило ПБОр не только про
сто переформулирует угрозу, но и заранее описывает цели безопасности.
Специфицировать соответствующие правила ПБОр имеет смысл в случаях, если ОО предполагается
использовать в конкретных организациях, а также, если существует необходимость следования ОО ряду
правил, которые не являются очевидными из описания угроз. Например:
a) идентификация применяемых правил управления информационными потоками;
b
) идентификация применяемых правил управления доступом;
c) определение правил ПБОрдля аудита безопасности:
d) решения, предписанные организацией, например, использование определенных криптографичес
ких алгоритмов или следование определенным стандартам.
Каждое правило ПБОр должно иметь уникальную метку.
Примеры правил ПБОр приведены в приложении В.
9 Цели безопасности
9.1 Введение
Данный раздел содержит рекомендации по идентификации и спецификации целей безопасности в ПЗ
или ЗБ.
Цели безопасности представляют собой краткую формулировку предполагаемой реакции на пробле
му безопасности. Краткость формулирования целейбезопасности предполагаетотсутствие необходимости
глубокого рассмотрения деталей ихдостижения.
При этом цели безопасности следует расценивать как промежуточное звено, помогающее пользова
телю ПЗ и ЗБ отследить взаимосвязь между аспектами среды безопасности ОО и требованиями безопас
ности (см. рисунок 2).
В ПЗ и ЗБ необходимо различать два типа целей безопасности (см. рисунок 2):
a) цели безопасности для ОО. которые должны достигаться применением контрмер, реализуе
мых ОО:
b
) цели безопасности для среды ОО. которые должны достигаться применением технических мер.
реализуемых ИТ-средой, или не ИТ-мер (например, организационных).
Деление целей безопасности надва типа (для ОО и его среды) позволяет в контексте среды безопас ности
ОО вкратце изложить, решение каких аспектов проблемы безопасности возлагается на ОО. Разделе-
13