7
- обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
- безопасность (security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности.
- цель безопасности (security objective): Изложенное намерение противостоять установленным угрозам и/или соответствовать установленной политике безопасности организации и предположениям.
[ИСО/МЭК 15408-1:2005, определение 2.42]
- политика безопасности (security policy): Свод правил, являющийся внутренним сводом для подразделений организации и регламентирующий управление этими подразделениями защитой своих активов, с тем чтобы соответствовать заданным целям организации в рамках ее правового и культурного контекстов.
- этап (stage): Период в рамках жизненного цикла объекта, включающего в себя процессы и виды деятельности.
Примечание — Заимствовано из ИСО/МЭК 15288.
- Сокращения
В настоящем стандарте применяются сокращения по ИСО/МЭК ТО 15443-1, ИСО/МЭК ТО 15443-2, а также следующие сокращения:
COBIT — цели управления информацией и связанной с ней технологией, метод ISACA;
ISACA — Ассоциация аудита и контроля информационных систем;
ISSEA — Международная ассоциация проектирования безопасности систем;
ДИ (IA) — доверие к интеграции;
ДР (DA) — доверие к разработке;
ДЭ (OA) — доверие к эксплуатации;
ЗБ (ST) — задание безопасности.
- Понятие «доверие»
Целью обеспечения доверия является создание уверенности в надежном функционировании продукта в заданных условиях. В настоящем разделе рассматриваются некоторые общие вопросы, тогда как детальный анализ и руководство представлены далее.
Исходя из концепций, разработанных в ИСО/МЭК ТО 15443-1, ИСО/МЭК ТО 15443-2, надежное функционирование продукта отвечает заданной цели доверия. Цель доверия следует устанавливать более или менее формальным образом, и пользователь должен быть осведомлен об остаточном риске.
Уверенность достигается посредством использования и интерпретации результатов доверия, которые уже могут быть в наличии или которые можно получить применением методов обеспечения доверия. Эти методы следует выбирать и применять должным образом.
Существует большое число методов, и многие из них представлены в ИСО/МЭК ТО 15443-2. Некоторые основные аспекты их применения разъясняются в 4.2.
Пользователь результата доверия может потребовать использование методов разных уровней сложности. Эта сложность может обуславливать связанный с ней уровень строгости методов обеспечения доверия (см. 4.2.1), диапазон применения (см. 4.2.2) и стадии жизненного цикла (см. 4.2.3).
Особое внимание следует уделять оценке результатов доверия. Для достижения более высоких степеней уверенности может потребоваться формальная оценка или сертификация (см. 4.3).
- Определение цели доверия
Цели доверия зависят от следующих заданных требований доверия:
- поставщик продуктов может иметь обобщенные требования доверия, предназначенные для удовлетворения конкретных требований более чем одного пользователя, то есть требованиям коллектива пользователей его продукта, системы или услуги;
- у пользователя продукта существуют очень специфические требования, обычно зависящие от конкретной политики безопасности организации пользователя.
Ниже дается разъяснение заданных требований доверия и показана их связь с соответствующими предложениями доверия и их использованием.
Примечания
- В А.1 приложения А приводятся различия между поставщиком аппаратных средств, поставщиком программного обеспечения, провайдером сети, оператором сервера, поставщиком он-лайновой информации и предприятием в качестве пользователя. В этом примере поставщики, очевидно, принадлежат к первой группе провайдеров доверия, а организация пользователя — к группе пользователей доверия. Однако остальные являются как поставщиками (провайдерами), так и пользователями доверия.
Организации может потребоваться объединение результатов доверия вследствие наличия двух или более