ГОСТРИСО/МЭК ТО 15446— 2008
Данные цели могут быть достигнуты следующим образом.
Во-первых, перекрестные ссылки: угрозы. ПБОр. предположения — цели безопасности, охватываю
щие аспекты среды безопасности ОО. целесообразно представить в форме таблиц.
При этом пользователю ПЗ при изучении этих таблиц должно быть наглядно показано, что:
a) каждая цель безопасности охватывает, по крайней мере, одну угрозу, правило ПБОр или предполо
жение безопасности;
b
) каждая угроза, правило ПБОр и предположение безопасности охвачены, по крайней мере, одной
целью безопасности.
Во-вторых, необходимо показать, что цели безопасности достаточны для учета всех аспектов среды
безопасности ОО. Для этого таблицу соответствия целей безопасности и аспектов среды безопасности ОО
целесообразнодополнить следующими необязательными объяснениями:
a) для каждой угрозы — относительно того, что изложенные цели безопасности предусматривают
эффективные контрмеры по отношению к угрозам, то есть цели безопасности показывают, что событие,
указанное в спецификации угрозы, будет:
- обнаружено, и его последствия компенсированы (или ущерб от его наступления офаничен). либо
- предотвращено (или снижена до приемлемого уровня вероятность его наступления);
b
)для ПБОр и всех предположений безопасности — относительно того, каким образом изложенные
цели безопасности обеспечивают охват ПБОр и учитывают предположения безопасности.
Объяснениедолжно показать:
a) роль каждой цели безопасности в противостоянии угрозе или удовлетворении ПБОр;
b
) как при помощи целей безопасности для среды безопасности ОО осуществляется поддержка це
лей безопасности для ОО.
Данный раздел нельзя рассматривать как раздел анализа риска. В то же время при положительной
оценке ПЗ и ЗБ он может быть использован как основа для анализа риска организации.
13.3Представление в профилях защиты и заданиях по безопасности обоснования
требований безопасности
13.3.1 Демонстрация пригодности требований безопасности
Назначение этой части раздела ПЗ «Обоснование» заключается в том. чтобы показать, каксформули
рованные требования безопасности ИТ (в частности. ФТБ) подходят для удовлетворения целей безопасно
сти. При этом необходимо показать, что требования безопасности ИТ являются необходимыми идостаточ
ными. Данная задача может решаться следующим образом.
Во-первых, необходимо разработать таблицу, в которой сопоставить каждую цель безопасности с
ФТБ. которое соответствует данной цели. В таблице должно быть показано, что:
a) каждая ФТБ учитывает, по крайней мере, одну цель безопасности;
b
) каждая цель безопасности связана, по крайней мере, с одним ФТБ.
Пункта Ь) будет достаточно для обоснования необходимости каждого ФТБ (то есть будут исключены
избыточные ФТБ).
Во-вторых, разработанная таблица должна сопровождаться неформальным объяснением достаточно
сти ФТБ. Данное объяснение должно показатьдостаточность ФТБ для удовлетворения каждой цели безо
пасности. Данное объяснениедолжно охватывать все ФТБ. включенные в ПЗ. в том числе непосредствен но
удовлетворяющие цели безопасности (основные ФТБ). и предназначенные для их поддержки (поддер
живающие ФТБ).
При формировании объяснения необходимо рассмотреть:
a) как идля чего были использованы операции выбора, назначения, итерации и уточнения;
b
) как требования безопасности для ОО согласуются с требованиями безопасности для ИТ-среды.
Рекомендуется, но не обязательно, включать в ПЗ объяснение роли включенных в ПЗ требований
безопасности для не ИТ-среды.
В следующем разделе приведены рекомендации по представлению обоснования пригодности ТДБ.
13.3.2 Демонстрация пригодности требований доверия к безопасности
Назначение данной части раздела «Обоснование ПЗ» — показать, что требования доверия к безопас
ности являются надлежащими для рассматриваемого ОО. В этой связи необходимо дать строгое обосно
вание того, почему набор ТДБ;
а)достаточен для удовлетворения целей безопасности. Например, если ОО должен обеспечивать
защиту от нарушителя, обладающего высоким потенциалом нападения (что следует из анализа угроз и
целей безопасности), то нецелесообразно в качестве набора требований доверия к безопасности использо-
34