44
Приложение C (справочное)
Формирование методов обеспечения доверия
Содержание настоящего приложения было сформировано из общедоступного материала.
Производители аппаратных средств и программного обеспечения должны обеспечивать свою продукцию функциями обеспечения безопасности, соответствующими заданной цели и предполагаемой эксплуатационной среде. С учетом систематического подхода для этого следует применять установленный метод обеспечения доверия, такой как в ИСО/МЭК 15408 и ИСО/МЭК 19790.
Со стороны пользователей должны предприниматься шаги по обеспечению внедрения сопутствующих мер, необходимых для безопасного функционирования всего решения, что подразумевает эффективное управление безопасностью ИТ, а также организационные и технические меры обеспечения безопасности и меры обеспечения безопасности персонала. В этих целях должны применяться такие методы, как представленные в ИСО/МЭК 13335, ИСО/МЭК 27002 и Руководстве по базовой защите ИТ.
Профили защиты из ИСО/МЭК 15408 могут служить мостом между производителями и пользователями. Профили защиты могут помочь пользователям сформулировать точные требования к характеристикам и функциям безопасности продукции. Со своей стороны производители могут конкретизировать, какие профили защиты соответствуют конкретному продукту, и сопровождать такие заявления сертификатом.
Часто используют комбинацию, представленную в настоящем приложении.
- 1 ИСО/МЭК 15408 + Руководство по базовой защите ИТ
Стандарт серии ИСО/МЭК 15408 и Руководство по базовой защите ИТ могут использоваться в комбинации. Применение стандартных мер безопасности, указанных в руководстве по базовой защите ИТ, приводит к защите всей системы, охватывая как управление безопасностью ИТ, так и технические меры безопасности на уровне компонентов. Однако обычно во время оценки требований защиты или сравнительного анализа безопасности становится очевидно, что в подразделениях учреждения, которые невозможно защитить с помощью одного лишь руководства по базовой защите ИТ, имеются специфические потребности или требования. В этом случае для формулирования требований безопасности и выбора подходящей по возможности должным образом сертифицированной продукции могут применяться профили защиты, обеспечивающие необходимые функции обеспечения безопасности. Таким образом, соответствующего уровня безопасности ИТ можно достичь посредством комбинированного использования руководства по базовой защите ИТ и ИСО/МЭК 15408.
- 2 ИСО/МЭК 27002 + Руководство по базовой защите ИТ
ИСО/МЭК 27002 связан с управлением информационной безопасностью и предлагает применение ориентированного на процесс доступа. Основным содержанием данного стандарта является каталог общих мер, полученных на основе передового опыта. Для защиты общего решения от прогнозируемой угрозы эти общие меры должны реализовываться при помощи специальных и технических инструкций по действиям по их реализации и мер по обеспечению безопасности. В данном случае руководство по базовой защите ИТ может оказать существенное содействие. Руководство содержит каталоги с подробными рекомендациями, построенными на информации по областям «Организация», «Персонал», «Инфраструктура» и «Технология». Следовательно, комбинация руководства по базовой защите ИТ и ИСО/МЭК 27002 может обеспечить подход, который четко отделяет контроль безопасности ИТ от практического внедрения. По этому сценарию в случае с подобластями со специфическими требованиями безопасности можно обратиться к ИСО/МЭК 15408 и/или профилям защиты.
C.3 ИСО/МЭК 27001 и ИСО/МЭК 27002
ИСО/МЭК 27001 специфицирует требования к системам менеджмента информационной безопасности. Существуют стандарты на сертификацию, основанные на Руководстве 62 ИСО и ИСО/МЭК 17021. Данный подход можно применить к совершенно разным предприятиям и организациям, что позволяет интегрировать деятельность по менеджменту информационной безопасности в системы менеджмента, основанные на других стандартах ИСО.
На всех этапах жизненного цикла определены подлежащие оценке требования по менеджменту информационной безопасности. Документированные процессы могут быть оценены в контексте целей организации. Для определения правильности следования процессам и достижения нужных результатов можно оценивать ассоциативные записи. В случае возникновения обстоятельств, когда система менеджмента не может достичь требуемых результатов, требования к системам менеджмента включают в себя требования к корректирующим и превентивным мерам. Соблюдение ИСО/МЭК 27001 требует от руководства проявления ответственного отношения к менеджменту информационной безопасности, играя в нем главную роль и обеспечивая адекватные ресурсы и подготовку персонала.
ИСО/МЭК 27001 требует использования мер управления по ИСО/МЭК 27002 как основы для обработки неприемлемого риска.
C.4 ИСО/МЭК 27002 + ИСО 9000
В ИСО 9000 определены требования к системам менеджмента качества и дано определение соответствующего метода испытаний. Метод может применяться на совершенно разных предприятиях и в разных организациях; однако