21
2 Соответствующие концепции и процессы выражены в существующих стандартах и технических отчетах по безопасности ИТ, таких, например, как ИСО/МЭК 13335, ИСО/МЭК 27002, ИСО/МЭК 21827 и ИСО/МЭК 15408.
- Целевая аудитория
Настоящий стандарт адаптирован для предоставления руководства по трем типичным ситуациям в соответствии с разделом 6. Эта характеристика доверия имеет следующие категории:
- доверие к разработке: разработка продуктов ИКТ, например, в области безопасности;
- доверие к интеграции: закупка продуктов и их компоновка в систему ИКТ, например, в соответствии с определенной политикой безопасности;
- доверие к функционированию системы информационных и коммуникационных технологий, например, в соответствии с политикой безопасности данной организации.
Кроме того, сравнение может дать ответ на следующие вопросы:
- для каких компаний предназначен метод;
- для каких ролей в рамках организации предназначено содержимое;
- насколько метод применим к общепринятым структурам предприятий?
- Характеристики
Подход к обеспечению доверия, определение которому приведено в ИСО/МЭК ТО 15443-1 и ИСО/МЭК ТО 15443-2, рассматривается и разъясняется в 6.1 настоящего стандарта.
Кроме того, сравнение может дать ответы на следующие вопросы:
- насколько метод применим к общепринятым структурам предприятий;
- каково назначение рассматриваемого метода;
- какие методологические элементы он содержит?
Примечание — Общее руководство по выбору приемлемого подхода к обеспечению доверия для достижения конкретной цели по обеспечению доверия см. в 5.1.
- Разносторонность
Возможность повторного использования частей процедуры оценки позволяет амортизировать стоимость работ, выполненных в отношении какого-либо продукта, например, будущего оценивания. В особых случаях стоимость работ следует амортизировать с помощью, например, специальной версии продукта в отличие от семейства существующих или будущих объектов.
Кроме того, сравнение может дать ответ на следующие вопросы:
- какова взаимосвязь между объемом работ и стоимостью применения;
- какой величиной и сложностью исследуемого объекта можно оперировать;
- можно ли это контролировать путем применения разных степеней детализации?
- Своевременность
Кроме того, сравнение может дать ответ на следующие вопросы:
- отражает ли настоящая версия метода новейшие технологии;
- как обеспечивается в случае необходимости регулярное обновление метода;
- что такое рыночное признание и каковы его движущие силы?
- Завершенность
Кроме того, сравнение может дать ответ на следующие вопросы:
- образуют ли критерии по основному вопросу закрытый исчерпывающий каталог элементов или охватывают только выбранные аспекты;
- для какого уровня безопасности адаптирован релевантный каталог соответствующих критериев;
- рассматривает ли метод цели безопасности только с помощью полного исчерпывающего каталога элементов или охвачены только выбранные аспекты;
- для какого уровня безопасности адаптирован метод?
- Издержки при внедрении/объем работ по внедрению
Кроме того, сравнение может дать ответ на следующие вопросы:
- чего надо ждать в отношении объема работ и издержек при применении данной системы критериев безопасности ИТ к типичным сценариям?
Характеристики доверия являются фактическим источником доверия и могут иметь соответствующую систему показателей. Характеристики доверия включают в себя стоимость и различные качественные аспекты, такие, например, как строгость, надежность, воспроизводимость, эффективность и т. д.;
какой метод обеспечения доверия является правильным для имеющейся проблемы доверия и как его применять? Для ответа на этот вопрос надо понять преимущества методов обеспечения доверия, исходя из доверия, приобретенного этими методами наряду со связанными с ними издержками. Другими словами, свойства доверия, содействующие определению его значимости, должны измеряться и сравниваться после идентификации альтернатив.