50
согласованности политик безопасности.
E.5 Применимая цель обеспечения доверия
Целью обеспечения любого доверия к безопасности является обеспечение уверенности в соответствии системы ИТ объекта руководящей политике на следующем более высоком уровне для гарантии соответствия объекта политике организации.
Таким образом, в данном случае доверие может быть производной оценки риска и/или политики безопасности организации.
Для многих операций с ИТ, в особенности ИТ средних или небольших организаций, определенная политика безопасности не предписывается. В этом случае можно использовать имеющуюся в наличии общую политику безопасности.
Данное положение также относится к случаю, когда пользователь внедряет стандартную систему безопасности, например, из справочников по базовой безопасности. Здесь доверие обеспечивается для общих потребностей среды, которые должны быть разъяснены в прилагаемых справочниках по базовой безопасности.
Другим подходом является применение имеющегося задания по безопасности или профиля защиты, который был подготовлен для данной целевой среды в соответствии с ИСО/МЭК 15408.
Примечание — Проведение оценки риска является процессом, который сам по себе может быть предметом обеспечения доверия к процессу. При данном подходе к обеспечению доверия оценивается применение процессов и их результатов, включая их обратную связь, которая обеспечивает выполнение процесса, получение результатов и их обработку заданным способом связанным с безопасностью персоналом.
E.6 Меры безопасности
Меры безопасности, определения которым даны в процессе менеджмента рисков, добавляют к функциональным требованиям объекта с целью производства технической спецификации или спецификации по поставке.
В случаях применения обобщенной политики политика безопасности, модель и архитектура предопределены и не изменяются. Однако в большинстве случаев предлагается сделать выбор или предлагается каталог, из которого выбирают меры безопасности, наиболее подходящие для конкретной ситуации с угрозами.
В данном случае очень важно проверить описание имеющихся целей безопасности, если весь применимый риск смягчается. Требование не относится к случаю, когда активы обладают особой ценностью и/или подвергаются особым угрозам. В этом случае и при наличии каких-либо сомнений следует провести специальную оценку риска, которая приведет к применению специальных мер. Эта гибридная технология показана на рисунке E.3.
Объектом доверия, связанным с определением мер безопасности, может быть анализ или проверка доступности или связности модели безопасности.
Примечание — В зависимости от методов обеспечения безопасности применяются меры, принимающие вид, например, мер защиты (см. ИСО/МЭК 13335), мер контроля (см. ИСО/МЭК 27002) или задания по безопасности (см. ИСО/МЭК 15408).
E.7 Пример: ИСО/МЭК 15408
В ИСО/МЭК 15408 используется следующая терминология:
- объект оценки (ОО) — продукт или система ИТ и связанная с ними руководящая документация, подлежащие оценке;
- политика безопасности объекта оценки (ПБО) — совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО;
-задание по безопасности (ЗБ) — совокупность требований безопасности и спецификаций, предназначенная для