ГОСТ Р ИСО/МЭК 15408-1—2012
А .6.3 П олитика б езопасности ор гани зац ии (П Б О р)
Данный подраздел раздела «Определение проблемы безопасности» представляет ПБОр. которые должны
быть реализованы ОО. его средой функционирования или их сочетанием.
ПБОр — правила безопасности, процедуры или руководящие принципы, предписанные (или предполагае
мые быть предписанными) в настоящее время и/или в будущем фактической или гипотетической организацией
в среде функционирования. ПБОр может быть установлена организацией, управляющей средой функционирова
ния ОО. или может быть установлена законодательными или регулирующими органами. ПБОр может относиться
к ОО и/или к среде функционирования ОО.
Примеры ПБОр:
- все продукты, которые используются государственными организациями, должны соответствовать нацио
нальным стандартам по генерации пароля и криптографии;
- только пользователям с привилегиями системного администратора и допуском секретного отдела должно
быть разрешено управление файл-сервером Департамента.
А .6.4 П редполож ения
Данный подраздел раздела «Определение проблемы безопасности» представляет предположения, которые
сделаны по отношению к среде функционирования ОО для обеспечения функциональных возможностей безопас
ности. Если ОО помещен в среду функционирования, которая не отвечает этим предположениям, то ОО. возможно,
окажется уже не в состоянии обеспечить все свои функциональные возможности безопасности. Предположения
могут быть по отношению к физическим аспектам, персоналу и внешней связности в среде функционирования.
Примеры предположений:
- предположения, связанные с физическими аспектами среды функционирования:
- предполагается, что ОО будет размещен в помещении, где выполнены работы по минимизации электро
магнитных излучений;
- предполагается, что консоли администратора ОО будут помещены в зону ограниченного доступа.
- предположения, связанные с персоналом среды функционирования:
- предполагается, что пользователи ОО будут в достаточной степени обученными, чтобы эксплуати
ровать ОО:
- предполагается, что пользователи ОО допущены к информации ограниченного доступа;
- предполагается, что пользователи ОО не будут записывать свои пароли.
- предположения по отношению к аспектам связности среды функционирования:
- предполагается, что на автоматизированном рабочем месте на базе ПК для работы ОО доступно как ми
нимум 10 Гб дискового пространства;
- предполагается, что ОО является единственным, кроме ОС. приложением, работающим на конкретной
рабочей станции;
- предполагается, что ОО не будет связан с недоваренной сетью.
В процессе оценки эти предположения считаются верными: они в любом случае не проверяются.
По этим причинам предположения могут быть сделаны только по отношению к среде функционирования.
Предположения никогда не могут делаться по отношению к режиму функционирования ОО. потому что оценка
состоит из оценки утверждений, сделанных по отношению к ОО, а не из предположений, что утверждения по от
ношению к ОО являются верными.
А .7 Ц ели б езопасности (A S E _O B J)
Цели безопасности — это краткое и абстрактное изложение предполагаемого решения проблемы, опреде
ленной в разделе ЗБ «Определение проблемы безопасности». У целей безопасности тройная роль:
- предоставить высокоуровневое на естественном языке описание решения проблемы;
- разделить данное решение на две части, отражающие, что различные сущности решают свою часть про
блемы;
- продемонстрировать, что эти части решения формируют полное решение проблемы.
А .7.1 В ы сокоуровневое реш ение
Цели безопасности состоят из совокупности коротких и четких утверждений без чрезмерно больших подроб
ностей. которые формируют высокоуровневое решение проблемы безопасности. Уровень абстракции целей без
опасности должен быть таким, чтобы они были ясными и понятными для хорошо осведомленных потенциальных
потребителей ОО. Цели безопасности излагаются на естественном языке.
А .7.2 Ч асти реш ения проблем ы
В ЗБ высокоуровневое решение проблемы, которое описывается целями безопасности, делится на две
части. Эти части описания решения названы целями безопасности для ОО и целями безопасности для среды
функционирования. Это отражает, что данные части решения обеспечиваются двумя различными сущностями: ОО и
средой функционирования.
А .7.2.1 Ц ел и б езопасности для О О
ОО обеспечивает функциональные возможности безопасности для решения некоторой части проблемы,
определенной в разделе ЗБ «Определение проблемы безопасности». Данная часть решения названа целями без
опасности для ОО и включает совокупность целей, которые должны быть достигнуты ОО. чтобы решить свою часть
проблемы.
Примеры целей безопасности для ОО:
34