22
Оценка является дополнением доверия, для получения которого требуются дополнительное время, персонал и значительные расходы.
Таким образом, органу по обеспечению доверия следует логически обосновать целесообразность использования такой оценки.
Доверие служит причиной издержек, и поэтому их величина может быть оспорена.
При определении стоимости конкретного подхода к обеспечению доверия важно учитывать конкретное окружение, в котором действует орган обеспечения доверия. Стоимость определяется конкретными требованиями органа обеспечения доверия, для которого она определяется, и должна соответствовать потребностям доверия, уделяя особое внимание конечному пользователю доверия.
При наличии альтернатив доверия надо определить относительную стоимость методов обеспечения доверия.
Политика безопасности или культура организации может определять форму доверия. Форма доверия может быть продиктована суммой, которую организация готова заплатить, или какими-то другими значимыми критериями, например, политическим указом или законодательством. Критерии предназначены для получения данных о том, почему пользователь готов заплатить за доверие и применительно к чему организация намерена оказать доверие, которое она оплачивает.
Примечание — При рассмотрении методов обеспечения доверия первым шагом может стать определение причины готовности пользователя заплатить за доверие и то, для какой цели он намеревается применить это доверие. Определение причины готовности пользователя заплатить за доверие может послужить причиной отказа от других методов обеспечения доверия, а также в значительной степени воздействовать на достижение целей обеспечения доверия.
- Поддержка инструментальными средствами
Сравнение может дать ответ на вопрос:
существуют ли какие-либо инструменты поддержки пользователя при применении рассматриваемого метода?
- Сфера действия криптографии
Сравнение может дать ответ на вопрос:
содержит ли рассматриваемая система критериев безопасности ИТ какие-либо положения или руководство по криптографическим процедурам или алгоритмам?
- Оценка и сертификация
Еще большее увеличение доверия достигается при определении и/или сертификации оценки результата доверия по какой-либо признанной схеме сертификации.
Сравнение этой характеристики доверия может дать ответ на следующие вопросы:
- существует ли для метода квалификационная и/или сертификационная система;
- подходит ли метод для продуктов или итоговых решений;
- полагаются ли на независимых оценщиков при выдаче сертификатов, или сертификация обеспечивается специализированным органом или организацией;
- подлежит ли сам орган по сертификации оценке и аттестации? Каковы правила аттестации;
- имеются ли соглашения о взаимном признании сертификатов;
- каково воздействие успешного оценивания сертификации, то есть какова потенциальная возможность удовлетворения требованиям заказчика или администрации;
- какова зрелость схемы?
Примечание — Методы обеспечения доверия со связанными с ними схемами сертификации представлены в приложении А.
- Надежность и признание
Надежность метода обеспечения доверия и, возможно, связанная с ним схема сертификации оказывают сильное влияние на принятие результата его применения пользователем.
Надежность метода обеспечения доверия определяется его известностью на рынке, поддержкой заслуживающей доверия организацией, принятием правительством или поддержкой с его стороны.
Для глобальных пользователей признание должно быть получено на международном уровне.
- Руководство
Для любого эффективного руководства требуются обобщение, упрощение и сосредоточенность. Для уменьшения числа методов, сравниваемых со значимыми и приемлемыми методами, анализируются три типичные ситуации. Эти ситуации называются «проблемы обеспечения доверия» и определяются следующим образом:
- доверие к разработке — разработка продуктов ИКТ обычно с учетом целей безопасности;
доверие к интеграции — закупка и компоновка продуктов в систему информационных и коммуни