15
- Заключение об оценке
Результаты количественной или качественной оценки должны быть специфицированы. В простейшей форме это может быть приемка/браковка, тогда как более точный результат принимает форму ранжирования, например, нескольких уровней (степеней), например, уровня, соответствующего браковке.
Целям безопасности, в противоположность техническим областям, характерна постоянная эволюция. Из-за сложности объектов могут появляться новые дефекты безопасности, и вследствие наличия среды угроз может возникнуть необходимость противодействия новым угрозам.
- Поддержка оценки
После завершения оценки она должна повторяться периодически или в случаях возникновения каких-либо событий.
Поддержкой оценки является поддержание достоверности заданного результата доверия к безопасности или ранжирования в течение длительного времени.
Примечание — В отношении доверия к персоналу это может означать постоянное обучение и периодическую переоценку или переаттестацию конкретного лица.
- Пример
Орган обеспечения доверия — поставщик создает доверенную систему для удовлетворения общих требований безопасности в соответствии с ИСО/МЭК 15408 (критерии оценки). Оценщики (эксперты органа оценки) оценивают систему на предмет выполнения этой системой требований ИСО/МЭК 15408.
В целях обеспечения доверия орган оценки применяет ИСО/МЭК 18045 (методологию оценки) и выдает соответствующий статус подтверждения (ознакомление, согласование, утверждение).
Оценщики и орган оценки уполномочиваются национальным органом по сертификации в соответствии с соглашением о взаимном признании общих критериев.
Национальный орган сертификации выдает сертификат с результатами оценивания и полученным статусом подтверждения.
Для этого сертификата может потребоваться периодическое оценивание для гарантии того, что модификация продуктов не меняет результаты оценивания.
- Сравнение, выбор и формирование доверия
Назначением настоящего стандарта является обеспечение органа обеспечения доверия руководством по выбору соответствующих методов обеспечения доверия к информационным и телекоммуникационным технологиям для выполнения поставленной цели доверия, то есть выполнения политики безопасности организации. Это руководство содействует органу обеспечения доверия в определении:
- подхода к обеспечению доверия, который обеспечит требуемые результаты доверия, наиболее соответствующие требованиям органа оценки;
- относительной ценности каждого подхода к обеспечению доверия, наиболее соответствующего конкретным условиям органа обеспечения доверия;
- способа обращения с доверием сложного объекта (то есть с несколькими компонентами аппаратных средств, программного обеспечения, услуг по безопасности, аспектами среды или их комбинациями).
- Выбор подхода к обеспечению доверия
Разных степеней доверия можно достигнуть различными методами. В настоящем подразделе рассматривается сравнение каждого из последующих подходов к обеспечению доверия (не методов) по принципу «один к одному»:
- доверие к продукту в сравнении с доверием к процессу;
- доверие к процессу в сравнении с доверием к среде;
- доверие к продукту в сравнении с доверием к среде.
Эти подходы соответствуют первым трем уровням в таблице 6. Целью данного сравнения является понимание того, какой вид подхода к обеспечению доверия следует выбрать.
Примечание — Совокупность подходов соответствующих уровней в таблице 6, от 4 до 7, обсуждается в 5.2.
- Сопоставление доверия к продукту с доверием к процессу
По определению доверие к продукту сосредоточено на продукте, тогда как доверие к процессу сосредоточено на процессах, применяемых к продуктам на определенных этапах жизненного цикла.
В случае с доверием к продукту утверждается, что характеристики продукта и его функционирование интенсивно оценивались, тестировались и подтверждались в отношении их корректности, пока не была получена требуемая степень доверия к продукту. Степень доверия к продукту является функцией используемых критериев (что оценивается) и методологии обеспечения доверия (как верифицируется соответствие критериям).