ГОСТ Р ИСО/МЭК ТО 15446— 2008
Приложение А
(рекомендуемое)
Резюме
А.1 Введение
Настоящее приложение содержит описание ключевых вопросов, изложенных в разделах 7— 13.
А.2 Введение профиля защиты и задания по безопасности
В раздел «Введение ПЗ и ЗБ» необходимо включать обзор проблемы безопасности, которая подлежит
решению в ПЗ и ЗБ. а также краткий обзор того, как ПЗ и ЗБ способствует решению проблемы безопасности. При
этом необходимо обеспечить их соответствие содержанию ПЗ и ЗБ.
А.З Описание объекта оценки
В раздел ПЗ и ЗБ «Описание ОО» необходимо включать описание всех функциональных возможностей ОО,
а не только характеристик безопасности (если только обеспечение безопасности не является единственным
предназначением ОО).
В раздел ПЗ «Описание ОО» описание «границ ОО» допускается не включать. Описание «границ ОО» - это
описание того, что включает и не включает в себя ОО.
В раздел ЗБ «Описание ОО» описание «границ ОО» включают обязательно. «Границы ОО» должны быть
определены как в части аппаратных и программных компонентов (физические границы), так и в части функцио
нальных характеристик безопасности ОО.
Необходимо обеспечить соответствие раздела «Описание ОО» содержанию ПЗ и ЗБ.
А.4 Среда безопасности объекта оценки
А.4.1 Предположения безопасности
А.4.1.1 Идентификация
В подраздел «Предположения безопасности» необходимо включать перечень предположений относи
тельно среды безопасности ОО. связанных с вопросами физической защиты, персоналом и вопросами связнос ти
среды и ОО.
А.4.1.2 Спецификация
Необходимо, по возможности, при формулировании предположений безопасности избегать включения
любых деталей, касающихся функций безопасности ОО.
А.4.1.3 Представление
Для упрощения ссылок необходимо, чтобы каждое предположение безопасности было пронумеровано
или имело уникальную метку.
А.4.2 Угрозы
А.4.2.1 Идентификация
При идентификации угроз необходимо описать активы ИТ. подлежащие защите, методы нападений и дру
гие нежелательные события, которые необходимо учитывать при защите, и источники угроз.
А.4.2.2 Спецификация
При спецификации необходимо обеспечить четкое описание угроз путем представления детальной инфор
мации относительно источника угрозы, активов ИТ, подверженных нападению, и метода нападения.
При этом необходимо обеспечить краткость в описании каждой отдельной угрозы с тем. чтобы минимизи
ровать перекрытие описания различных угроз.
Описание угроз должно затрагивать только те потенциальные события, которые непосредственно могут
привести к компрометации активов, подлежащих защите. В ПЗ и ЗБ не рекомендуется включать описание угроз,
связанных с недостатками в реализации ОО.
А.4.2.3 Представление
Для упрощения ссылок необходимо, чтобы каждая угроза имела уникальную метку.
А.4.3 Политика безопасности организации
А.4.3.1 Идентификация
Любые требования политики безопасности, которые не могут быть сформулированы исключительно на
основе анализа угроз, необходимо трактовать как правила ПБОр.
А.4.3.2 Спецификация
Необходимо определить ПБОр в виде совокупности правил, предназначенных для реализации ОО и/или
его средой (например, правила управления доступом).
А.4.3.3 Представление
Для упрощения ссылок необходимо, чтобы каждое правило ПБОр имело уникальную метку.
А.5 Цели безопасности
А.5.1 Идентификация
Если функциональные требования безопасности уже определены, то для каждого основного ФТБ (или
группы ФТБ) необходимо поставить в соответствие некоторую цель безопасности для ОО.
44