ГОСТ Р ИСО/МЭК 15408-3-2002; Страница 7

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО/МЭК 15910-2002 Информационная технология. Процесс создания документации пользователя программного средства Information technology. Software user documentation process (Настоящий стандарт определяет минимально необходимый процесс создания документации пользователя всех видов для программного средства, имеющего интерфейс пользователя. . Стандарт предназначен для разработчиков и потребителей документации пользователя.. Настоящий стандарт используется для печатной документации, а также для справочных экранов, справочной системы обеспечения поставки, справочной информации и т.д.. Стандарт предназначен для применения при двусторонних отношениях и может быть использован, если обе стороны корпоративно связаны. Стандарт также может быть использован одной из сторон для самоконтроля) ГОСТ Р ИСО/МЭК 37-2002 Потребительские товары. Инструкции по применению. Общие требования Products of consumer interest. Instructions for use. General requirements (Настоящий стандарт устанавливает принципы и предлагает рекомендации по подготовке и изложению инструкций по применению потребительских товаров. Он предназначен для:. - организаций, разрабатывающих стандарты на потребительские изделия;. - конструкторов изделий, изготовителей, технических и других специалистов, занимающихся подготовкой и составлением таких инструкций.. Принципы и подробные рекомендации, представленные в настоящем стандарте, должны применяться одновременно с конкретными требованиями к инструкциям, установленным в стандартах на конкретные изделия или группы изделий) ГОСТ 1820-2001 Спички. Технические условия Matches. Specifications (Настоящий стандарт распространяется на спички в коробках, предназначенные для использования в быту.. Стандарт не распространяется на спички специального назначения, сувенирные и спички, предназначенные для экспорта, на которые разрабатываются национальные нормативные документы)

Страница 7

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 15408-3-2002

1.2.2 П о д х о дк д о в е р и ю

Основная концепция ГОСТ Р ИСО/МЭК 15408 —обеспечениедоверия, основанное на оценке

(активном исследовании) продукта или системы ИТ. которым предполагаетсядоверять. Оценка была

традиционным способом обеспечения доверия и являлась основой предшествующих критериев оценки.

Для согласования с существующими подходами в ГОСТ Р ИСО/МЭК 15408 принят тот же самый

основной принцип. ГОСТ Р ИСО/МЭК 15408 предполагает, что проверку правильности документа

ции и разработанного продукта или системы ИТ будут проводить опытные оценщики, уделяя особое

внимание области, глубине и строгости оценки.

ГОСТ Р ИСО/МЭК 15408 не отрицает и при этом не комментирует относительные достоинства

других способов получения доверия. Продолжаются исследования альтернативных путей достижения

доверия. Если в результате этих исследований будут выявлены другие отработанные альтернативные

подходы, то они могут вдальнейшем быть включены в ГОСТ Р ИСО/МЭК 15408. который структур но

организован так, что предусматривает такую возможность.

1.2.2.1Значимость уязвимостей

Предполагается, что имеются нарушители, которые будут пытаться активно использовать воз

можности нарушения политики безопасности как для получения незаконной выгоды, гак идля незло

намеренных, но тем не менее опасных действий. Нарушители могут также случайно активизировать

уязвимости безопасности, нанося вредорганизации. При необходимости обрабатывать чувствительную

информацию и отсутствии в достаточной степени доверенных продуктов или систем имеется значи

тельный риск из-за отказов И Г. Поэтому нарушения безопасности ИТ могут вызвать значительные

потери.

Нарушения безопасности ИТ возникают вследствие преднамеренного использования или слу

чайной активизации уязвимостей при применении ИТ по назначению.

Следует предпринять ряд шагов для предотвращення уязвимостей, возникающих в продуктах и

системах ИТ. По возможности уязвимости должны быть:

а) устранены, т. е. следует предпринять активные действия для выявления, а затем удаления или

нейтрализации всех уязвимостей, которые могут проявиться:

б) минимизированы, т. е. следуетпредпринять активные действия для уменьшения до допустимо

гоостаточного уровня возможного ущерба отлюбого проявления уязвимостей:

в) отслежены, т. е. следует предпринять активные действия для обнаружения любой попытки

использовать оставшиеся уязвимости с тем, чтобы ограничить ущерб.

1.2.2.2 Причины уязвимостей

Уязвимости могут возникать из-за недостатков:

а) требований, т. е. продукт или система И Гмогут обладать требуемыми от них функциями и

свойствами, но все же содержатьуязвимости, которые делают их непригодными или неэффективными в

части безопасности;

б) проектирования, т. е. продукт или система ИТ не отвечают спецификации, и/или уязвимости

являются следствием некачественных стандартов проектирования или неправильных проектных реше

ний;

в) эксплуатации, т. е. продукт или система ИТ разработаны в полном соответствии с корректны

ми спецификациями, но уязвимости возникают как результат неадекватного управления при эксплу

атации.

1.2.2.3 Доверие в ГОСТ Р ИСО/МЭК 15408

Доверие —основа для уверенности в том, что продукт или система ИТ отвечают целям безопас

ности. Доверие могло бы быть получено путем обращения к таким источникам, как бездоказательное

утверждение, предшествующий аналогичный опыт или специфический опыт. Однако ГОСТ Р

ИСО/МЭК 15408 обеспечиваетдоверие с использованием активного исследования. Активное исследо

вание —это оценка продукта или системы ИТдля определения его свойств безопасности.

1.2.2.4Доверие через оценку

Оценка является традиционным способом достижения доверия, и она положена воснову ГОСТ

Р ИСО/МЭК 15408. Методы оценки могут, в частности, включать в себя:

а) анализ и проверку процессов и процедур;

б) проверку, что процессы и процедуры действительно применяются;

в) анализ соответствия между представлениями проекта ОО;

г) анализ соответствия каждого представления проекта ОО требованиям: