ГОСТ Р ИСО/МЭК 15408-1—2012
Владельцы активов будут воспринимать такие угрозы как потенциальную возможность нанесения
такого ущерба активам, при котором ценность активов для владельцев уменьшилась бы. Специфичный
для безопасности ущерб обычно состоит в следующем (но не ограничивается этим): потеря конфиден
циальности активов, потеря целостности активов или потеря доступности активов.
Таким образом, эти угрозы увеличивают риски для активов, зависящие от вероятности реализации
угрозы и ущерба активам при реализации рассматриваемой угрозы. Для того чтобы уменьшить риски
для активов, реализуются контрмеры. Эти контрмеры могут включать ИТ-контрмеры (такие как межсе
тевые экран и смарт-карты) и не-ИТ-контрмеры (такие как охрана и процедуры). Более широкое рассмо
трение контрмер (мер безопасности), а также способов их реализации и управления ими представлено в
ИСО/МЭК 27001 и ИСО/МЭК 27002.
Поскольку за активы могут нести (несут) ответственность их владельцы, то им следует иметь воз
можность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами.
При отстаивании этого решения должна иметься возможность продемонстрировать два важных
момента, что:
- контрмеры являются достаточными, если контрмеры выполняют то. что заявлено, и угрозам,
направленным на активы, обеспечивается противостояние:
- контрмеры являются корректными, если контрмеры выполняют то. что заявлено.
Многие владельцы активов не имеют знаний, опыта или ресурсов, необходимых для вынесения
суждения о достаточности и корректности контрмер, и при этом они могут не захотеть полагаться ис
ключительно на утверждения разработчиков этих контрмер. Вследствие этого данные потребители мо гут
захотеть повысить свою уверенность в достаточности и корректности некоторых или всех контрмер путем
заказа оценки этих контрмер.
Рисунок 3 иллюстрирует понятия, используемые при оценке, и их взаимосвязь.
Рисунок 3 — Понятия, используемые при оценке, и их взаимосвязь
6.2.1 Достаточность контрмер
При оценке достаточность контрмер анализируется через конструкцию, называемую заданием
по безопасности. В данном пункте представлен упрощенный обзор этой конструкции: более детальное
и полное описание можно найти в приложении А.
19