ГОСТ Р ИСО /М ЭК 15408-1-2002
Поскольку за активы несут
ответственность их владельцы, то
им следует иметь возможность от
стаивать принятое решение о
приемлемости риска для активов,
создаваемого угрозами. Для этого
требуется,чтобырезультаты
оценкибылиправомерными.
Следовательно, опенка должна
приводил, к объективным и по
вторяемым результатам, что по
зволит использовать их в качестве
свидетельства.
4.1.2Контекстб е з
о п а с н о с т и и н ф о р м а ц и
онных технологий
Многие активы представле
ны в виде информации, которая
хранится, обрабатывается и пере
дается продуктами или системами
ИТ таким образом, чтобы удовле
творить требования владельцев
этой информации. Владельцы ин
формациивправетребовать,
чтобы распространение и моди
Рисунок 4.2 — Понятия,используемые при оценке.и их взаимоснязь
фикация любых таких представ
ленийинформации(данных)
строго контролировались. Они
могут запросить, чтобы продукт или система ИТ реализовали специальные средства контроля для
противостояния угрозам данным как часть всей совокупности контрмер безопасности.
Системы ИТ приобретаются и создаются для выполнения определенных требований и при
этом, по экономическим причинам, могут максимально использоваться имеющиеся коммерческие
продукты ИТ. такие как операционные системы, компоненты прикладного программного обеспе
чения общего назначения и аппаратные платформы. Контрмеры безопасности ИТ, реализованные
всистеме, могут использовать функции, имеющиеся во включаемых продуктах ИТ, и, следовательно,
зависят от правильного выполнения функций безопасности продуктов ИТ. Поэтому продукты ИТ
могут подлежать оценке в качестве составной части оценки безопасности системы И’Г.
Если продукт ИТ уже включен в состав различных систем ИТ или такое включение предпола
гается. то экономически целесообразна отдельная оценка аспектовбезопасности подобного продукта и
создание каталога оцененных продуктов. Результаты подобной оценки следует выражать таким
образом, чтобы имелась возможность использовать продукт в различных системах ИТ без ипишнего
повторения работ по экспертизе его безопасности.
Аттестующий систему ИТ имеет полномочия владельца информации для вынесения заключе
нии о том. обеспечивает ли сочетание контрмер безопасности, относящихся и не относящихся к
ИТ, адекватную защиту данных и принятия на этом основании решения о допустимости эксплуа
тации данной системы. Аттестующий может потребовать оценку реализованных в ИТ контрмер,
чтобы решить, обеспечивают ли эти контрмеры адекватную защиту и правильно ли они реализованы
всистеме ИТ. Допускаются различные форма и степень строгости оценки в зависимости от правил,
которыми руководствуется аттестующий или которые вводятся им.
4.2 Подход Общих критериев
Уверенность в безопасности ИТ может быть достигнута в результате действий, которые могут
быть предприняты в процессе разработки, оценки и эксплуатации ()().
4.2.1 Разработка
ОК не предписывают конкретную методологию разработки или модель жизненного цикла. На
рисунке 4.3 представлены основополагающие предположения о соотношениях между требованиями
безопасности и собственно СЮ. Этот рисунок используется для контекста обсуждения и его не
10