ГОСТ Р ИСО/МЭК 15408-1-2012; Страница 25

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО/ТС 10303-1105-2012 Системы автоматизации производства и их интеграция. Представление данных об изделии и обмен этими данными. Часть 1105. Прикладной модуль. Использование разных языков (Настоящий стандарт определяет прикладной модуль «Использование разных языков». Требования настоящего стандарта распространяются на:. - идентификацию языка;. - идентификацию языка, на котором представлен текстовый атрибут;. - связь перевода на конкретный язык с текстовым атрибутом. Требования настоящего стандарта не распространяются на процесс перевода, результатом которого является перевод конкретного текста) ГОСТ Р 8.799-2012 Государственная система обеспечения единства измерений. Государственная поверочная схема для средств измерений мощности магнитных потерь в магнитомягких материалах (Настоящий стандарт распространяется на государственную поверочную схему для средств измерений мощности магнитных потерь в магнитомягких материалах (МММ) в диапазоне частот от 50 до 2•105 Гц и устанавливает порядок передачи единиц мощности магнитных потерь в диапазоне от 0,1 до 20,0 Вт и удельной мощности магнитных потерь в диапазоне от 0,1 до 200,0 Вт/кг от государственного первичного эталона с помощью эталонов первого и второго разряда рабочим средствам измерений с указанием основных методов поверки) ГОСТ Р 52249-2004 Правила производства и контроля качества лекарственных средств Good manufacturing practice for medicinal products (GMP) (Настоящий стандарт устанавливает требования к производству и контролю качества лекарственных средств для человека и животных. Стандарт распространяется на все виды лекарственных средств и устанавливает общие требования к их производству и контролю качества, а также специальные требования к производству отдельных видов лекарственных средств. Стандарт не распространяется на обеспечение промышленной безопасности, пожарной безопасности, взрывобезопасности, химической безопасности и безопасности других видов при производстве лекарственных средств, требования к которым приведены в других нормативных документах)

Страница 25

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 15408-1—2012

Задание по безопасности начинается с описания активов и угроз этим активам. Затем в задании

по безопасности описываются контрмеры (в форме целей безопасности) и демонстрируется, что дан

ные контрмеры являются достаточными, чтобы противостоять описанным угрозам: если контрмеры

осуществляют то. что заявлено по отношению к ним. то обеспечено противостояние угрозам

Далее в задании по безопасности контрмеры делятся на две группы:

a) цели безопасности для ОО: они описывают контрмеры, корректность которых будет опреде

ляться при оценке;

) цели безопасности для среды функционирования: они описывают контрмеры, корректность

которых не будет определяться при оценке.

Причинами данного разделения являются:

- ИСО/МЭК 15408 применим только для оценивания корректности контрмер ИТ. Следователь

но. ие-ИТ-комтрмеры (например, сотрудники службы безопасности, процедуры) всегда относят к среде

функционирования;

- оценивание корректности контрмер требует затрат времени и денег, возможно делая неосуще

ствимой оценку корректности всех контрмер ИТ;

- корректность некоторых контрмер ИТ может быть уже оценена в ходе другой оценки. Следова

тельно. экономически неэффективно проводить их повторную оценку.

В задании по безопасности для ОО (корректность контрмер ИТ которого будут оценивать в про

цессе оценки) требуется дальнейшая детализация целей безопасности для ОО в функциональ ных

требованиях безопасности (ФТБ). Эти ФТБ формулируют на стандартном языке (описанном в

ИСО/МЭК 15408-2). чтобы обеспечить точность и облегчить сопоставимость.

Таким образом, в задании по безопасности демонстрируется, что:

- ФТБ удовлетворяют целям безопасности для ОО:

- цели безопасности для ОО и цели безопасности для среды функционирования противостоят угрозам; -

и следовательно ФТБ и цели безопасности для среды функционирования противостоят угрозам. Из

этого следует, что корректный ОО (удовлетворяющий ФТБ) в сочетании с корректной средой

функционирования (удовлетворяющей целям безопасности для среды функционирования) будет про

тивостоять угрозам. Ниже отдельно рассматриваются корректность ОО и корректность среды функци

онирования.

6.2.2 Корректность ОО

Объект оценки может быть неправильно спроектирован и реализован и может, таким образом,

содержать ошибки, которые ведут к уязвимостям. Посредством использования этих уязвимостей, на

рушители могут причинить ущерб и/или несанкционированно использовать активы.

Эти уязвимости могут являться результатом случайных ошибок, сделанных в течение разработ

ки. ненадлежащего проектирования, преднамеренного внедрения вредоносного кода, ненадлежащего

тестирования и др.

Для определения корректности ОО могут выполняться различные виды деятельности, такие как:

- тестирование ОО;

- исследование различных проектных представлений ОО,

- исследование физической безопасности среды разработки ОО.

Задание по безопасности обеспечивает структурированное описание этих видов деятельности

для определения корректности в форме требований доверия к безопасности (ТДБ). Эти ТДБ формули

руются на стандартном языке (описанном в ИСО/МЭК 15408-3). чтобы обеспечить точность и облегчить

сопоставимость.

Если ТДБ удовлетворяются, то существует доверие к корректности ОО. и. таким образом, меньше ве

роятность. что ОО содержит уязвимости, которые могут быть использованы нарушителем. Величина дове

рия. которое существует по отношению к корректности ОО. определяется самими ТДБ; несколько «слабых»

ТДБ приведут к маломудоверию, большое число «сильных» ТДБ приведет к большему доверию.

6.2.3 Корректность среды функционирования

Среда функционирования также может быть неправильно спроектирована и реализована и мо

жет. таким образом, содержать ошибки, которые ведут к уязвимостям. Посредством использования этих

уязвимостей, нарушители могут причинить ущерб и/или несанкционированно использовать активы.

Однако в ИСО/МЭК 15408 доверие не приобретается при рассмотрении корректности среды

функционирования. Или. другими словами, среда функционирования не оценивается (см. 6.3).

Что касается оценки, то предполагается, что среда функционирования является на 100 % пра

вильным отражением целей безопасности для среды функционирования.