ГОСТ Р ИСО/МЭК 15408-1—2012
- локальная вычислительная сеть департамента транспорта по состоянию на декабрь 2002 года.
А .4.3 О п и сан ие ОО
«Описание ОО» представляет собой описание ОО в повествовательной форме, возможно в объеме несколь
ких страниц. Описание ОО должно обеспечить оценщикам и потенциальным потребителям общее понимание воз
можностей безопасности ОО с большей детализацией, чем в аннотации ОО. Описание ОО можно также использо
вать для описания более широкого прикладного контекста, для которого ОО будет подходящим.
В описании ОО рассматривают физические границы ОО: список всех аппаратных, программно-аппаратных,
программных частей и руководства, которые составляют ОО. Этот список должен быть описан на уровне детали
зации. достаточном, чтобы обеспечить пользователю ЗБ общее понимание этих частей.
В описании ОО следует также рассмотреть логические границы ОО: логические характеристики безопас
ности, обеспечиваемые ОО. на уровне детализации, достаточном, чтобы обеспечить пользователю ЗБ общее по
нимание этих характеристик. Предполагается, что данное описание будет более подробным, чем описание общих
характеристик безопасности в аннотации ОО.
Важная роль физических и логических границ заключается в том. что они описывают ОО способом, не остав
ляющим неясностей в том. входит ли определенная часть или характеристика в ОО или не входит. Это особенно
важно, когда ОО интегрирован с сущностями, не входящими в ОО. и не может быть легко выделен из них.
Примеры, когда ОО интегрирован с сущностями, не входящими в ОО:
- ОО является ИС смарт-карты, за исключением криптографического сопроцессора;
- ОО является частью межсетевого экрана MinuteGap версии 18.5. связанной с трансляцией сетевых адресов.
А .5 Утв ерж д ен ия о соответствии (A S E _C C L)
В данном подразделе ЗБ описывается соответствие ЗБ:
- части 2 и части 3 настоящего стандарта:
- профилям защиты (если применимо):
- пакетам (если применимо).
Описание соответствия ЗБ ИСО/МЭК 15408 состоит из двух пунктов: ссылка на используемый ИСО/МЭК
15408 и указание на то. содержит ли ЗБ расширенные требования безопасности или не содержит (см. А.8).
Описание соответствия ЗБ профилям защиты предусматривает перечисление в ЗБ профилей защиты, по от
ношению к которым требуется соответствие. Пояснения см. в 9.4.
Описание соответствия ЗБ пакетам предусматривает перечисление в ЗБ пакетов, по отношению к которым
требуется соответствие. Пояснения
cat
в 9.4.
А .6 О пред ел ени е пробл ем ы б езопасности (A S E _S P D )
А .6.1 В ведение
В разделе ЗБ «Определение проблемы безопасности» определяется проблема безопасности, которая долж
на быть решена. Определение проблемы безопасности относительно ИСО/МЭК 15408 является аксиоматическим.
Таким образом, процесс установления определения проблемы безопасности находится вне области применения
ИСО/МЭК 15408.
Однако полноценность результатов оценки в существенной степени зависит от ЗБ. а полноценность ЗБ в су
щественной степени зависит от качества определения проблемы безопасности. Поэтому зачастую необходимо
потратить существенные ресурсы и использовать четкие процессы и процедуры анализа, чтобы получить надле
жащее определение проблемы безопасности.
Согласно ИСО/МЭК 15408-3 не обязательно иметь изложение всех подразделов определения проблемы без
опасности; ЗБ, в котором изложены угрозы, не обязательно должно содержать изложение ПБОр и наоборот. Кроме
того, в ЗБ могут быть опущены предположения.
Когда ОО является физически распределенным, может оказаться предпочтительным рассмотреть соответству
ющие угрозы. ПБОр и предположения отдельно для различных областей (доменов) среды функционирования ОО.
А .6.2 Угрозы
Данный подраздел раздела «Определение проблемы безопасности» представляет угрозы, которым должен
противостоять ОО. его среда функционирования или их сочетание.
Угроза определяется негативным действием, выполняемым источником угрозы по отношению к некоторому
активу.
Негативные действия — действия, выполняемые источником угрозы по отношению к некоторому активу. Эти
действия влияют на одну или более характеристик актива, которые связаны со значимостью данного актива.
Источники угроз могут быть описаны как отдельные сущности, но в некоторых случаях может оказаться пред
почтительным описать их как типы сущностей, группы сущностей и т.п.
Примеры источников угроз — хакеры, пользователи, компьютерные процессы и инциденты. Далее источники
угроз могут быть описаны через такие аспекты, как компетентность, доступные ресурсы, возможности и мотивация.
Примеры угроз;
- хакер (со значительной компетентностью, стандартным оборудованием и профинансированный для реа
лизации угрозы), осуществляющий удаленное копирование конфиденциальных файлов из сети компании;
- компьютерный «червь», существенно снижающий производительность глобальной сети;
- системный адА»инистратор. нарушающий приватность пользователя:
- пользователь Интернета, прослушивающий трафик конфиденциального электронного обмена.
33