Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.3.2 Оценка раздела "Среда безопасности ОО" (ASE_ENV.1)

9.3.2.1 Цели

Цель данного подвида деятельности - сделать заключение, обеспечивает ли изложение раздела "Среда безопасности ОО" в ЗБ четкое и непротиворечивое определение проблемы безопасности, решение которой возложено на ОО и его среду.

9.3.2.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.3.2.3 Действие ASE_ENV.1.1Е

9.3.2.3.1 Шаг оценивания ASE_ENV.1-1

ИСО/МЭК 15408-3 ASE_ENV.1.1С: Изложение среды безопасности ОО должно идентифицировать и объяснить каждое предположение о предполагаемом применении ОО и среде использования ОО.

Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо предположения.

Предположения могут быть разделены на предположения относительно использования ОО и предположения относительно среды использования ОО.

Оценщик делает заключение, учитывают ли предположения относительно использования ОО такие аспекты, как предполагаемое применение ОО, потенциальная ценность активов, требующих защиты со стороны ОО, и возможные ограничения использования ОО.

Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно использования ОО для того, чтобы дать возможность потребителям решить, соответствует ли предполагаемое использование ими ОО сделанным предположениям. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что потребители будут использовать ОО в среде, для которой он не предназначен.

Оценщик делает заключение, охватывают ли предположения относительно среды использования ОО аспекты физической среды, персонала и внешних связей:

а) Физические аспекты включают в себя предположения, которые необходимо сделать относительно физического расположения ОО или подключенных периферийных устройств для того, чтобы ОО функционировал безопасным образом. Несколько примеров:

- предполагают, что консоли администраторов находятся в некоторой зоне, доступ в которую ограничен только персоналом, являющимся администраторами;

- предполагают, что хранение всех файлов для ОО осуществляется на той рабочей станции, на которой функционирует ОО.

b) Аспекты, имеющие отношение к персоналу, включают в себя предположения, которые необходимо сделать относительно пользователей и администраторов ОО или других лиц (включая потенциальные источники угроз) внутри среды ОО для того, чтобы ОО функционировал безопасным образом. Несколько примеров:

- предполагают, что пользователи имеют конкретные навыки или специальные знания;

- предполагают, что пользователи имеют определенный минимальный допуск;

- предполагают, что администраторы обновляют антивирусную базу данных ежемесячно.

c) Аспекты внешних связей включают в себя предположения, которые необходимо сделать относительно связей между ОО и другими внешними по отношению к ОО системами или продуктами ИТ (аппаратными, программными и программно-аппаратными средствами или их комбинацией) для того, чтобы ОО функционировал безопасным образом. Несколько примеров:

- предполагают, что для хранения файлов регистрации, генерируемых ОО, доступным является, по крайней мере, 100 Мб внешнего дискового пространства;

-предполагают, что ОО является единственным приложением, не относящимся к операционной системе, выполняемым на отдельной рабочей станции;

- предполагают, что дисковод ОО для накопителей на гибком магнитном диске отключен;

- предполагают, что ОО не будет подключен к недоверенной сети.

Оценщик делает заключение, достаточно ли подробно разъяснено каждое предположение относительно среды использования ОО для того, чтобы предоставить возможность потребителям решить, соответствует ли их предполагаемая среда сделанным предположениям о среде ОО. Если предположения не являются четкими и понятными, то это может, в конечном счете, привести к тому, что ОО будет использован в среде, в которой он не будет функционировать безопасным образом.

9.3.2.3.2 Шаг оценивания ASE_ENV.1-2

ИСО/МЭК 15408-3 ASE_ENV.1.2C: Изложение среды безопасности ОО должно идентифицировать и объяснить каждую известную или предполагаемую угрозу активам, от которой будет требоваться защита посредством ОО или его среды.

Оценщик должен исследовать изложение раздела "Среда безопасности ОО", чтобы сделать заключение, идентифицированы и разъяснены ли в нем какие-либо угрозы.