ГОСТ Р ИСО/МЭК 15408-1—2012
- ОО должен обеспечивать конфиденциальность содержания всех файлов, передаваемых между ним и сервером;
- ОО должен выполнять идентификацию и аутентификацию всех пользователей до предоставления им до
ступа к сервису передачи информации, предоставляемого ОО;
- ОО должен ограничить доступ пользователей к данным согласно политике доступа к данным, описанной
в приложении к ЗБ.
Если ОО является физически распределенным, может оказаться предпочтительным разделить подраздел
ЗБ. содержащий цели безопасности для ОО. на несколько пунктов, чтобы учесть это.
А.7.2.2 Цели безопасности для среды функционирования
В среде функционирования ОО применяются технические и процедурные меры для поддержки ОО в от
ношении корректной реализации его функциональных возможностей безопасности (которые определены целями
безопасности для ОО). Данная часть решения проблемы названа целями безопасности для среды функциони
рования и включает совокупность утверждений, описывающих цели, которые должны быть достигнуты средой
функционирования.
Примеры целей безопасности для среды функционирования:
- в среде функционирования должно быть предоставлено автоматизированное рабочее место с установлен
ной ОС Inux версии 3.01Ь для функционирования ОО на его базе;
- в среде функционирования должно быть обеспечено, чтобы все люди — пользователи ОО были соответ
ствующим образом обучены до того, как им будет разрешено работать с ОО;
- среда функционирования ОО должна ограничить физический доступ к ОО. разрешая такой доступ только
персоналу, выполняющему функции администраторов, и персоналу технической поддержки в сопровождении ад
министраторов;
- среда функционирования должна обеспечить конфиденциальность журналов аудита, сгенерированных
ОО. до их отправки на центральный сервер аудита.
Если среда функционирования ОО состоит из нескольких областей, каждая из которых обладает разными
характеристиками, может оказаться предпочтительным разделить подраздел ЗБ. содержащий цели безопасности
для среды функционирования, на несколько пунктов, чтобы учесть это.
А.7.3 Взаимосвязь между целями безопасности и определением проблемы безопасности
ЗБ также содержит подраздел «Обоснование целей безопасности», включающий два пункта:
- прослеживание, показывающее, какие цели безопасности направлены на какие угрозы. ПБОр и предпо
ложения:
- совокупность ложческих обоснований, показывающих, что все угрозы. ПБОр и предположения надлежа
щим образом учтены в целях безопасности.
А.7.3.1 Прослеживание целей безопасности к определению проблемы безопасности
Прослеживание показывает, каким образом цели безопасности сопоставлены с угрозами. ПБОр и предпо
ложениям, приведенным в разделе «Определение проблемы безопасности», обеспечивая при этом следующее;
a) Отсутствие избыточных целей; каждая цель безопасности сопоставлена, по крайней мере, с одной угро
зой. ПБОр или предположением.
b
) Полноту по отношению к определению проблемы безопасности: для каждой угрозы, ПБОр и предположе
ния имеется, по крайней мере, одна цель безопасности, сопоставленная с ними.
c) Корректность сопоставления: так как предположения всегда делаются по отношению к среде функцио
нирования. то цели безопасности для ОО не сопоставляются с предположениями. Сопоставления, допустимые в
соответствии с ИСО/МЭК 15408-3. представлены на рисунке А.2.
Рисунок А .2 — Сопоставление целей безопасности и определения проблемы безопасности
Несколько целей безопасности могут быть сопоставлены с одной и той ж е угрозой, указывая на то. что соче
тание этих целей безопасности направлено на противостояние данной угрозе. Подобное утверждение справедливо
для ПБ О р и предположений.
А.7.3.2 Предоставление логического обоснования для сопоставления
Обоснование цепей безопасности демонстрирует, что сопоставление является надлежащ им: все опреде
ленны е угрозы. ПБ О р и предположения учтены (т.е.. угрозам обеспечено противостояние. ПБОр осущ ествлена,
предположения реализованы, если все цели безопасности, сопоставленные с конкретной угрозой, ПБ О р или пред
положением. достигнуты).
35