Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

     8.4 Идентификация и спецификация политики безопасности организации


Раздел "Среда безопасности ОО" должен содержать описание правил ПБОр, которым должен следовать ОО. В то же время, формулировка ПБОр может не включаться, если цели безопасности формулируются исключительно на основе угроз: другими словами, в случае, если аспекты среды безопасности ОО полностью определяются угрозами.

Под ПБОр понимается совокупность правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. При необходимости, ПБОр может реализовываться ОО его средой либо некоторой их комбинацией.

Если ПЗ и ЗБ определяет и ПБОр, и угрозы, то следует кратко излагать в разделе "Среда безопасности ОО" аспекты среды безопасности ОО. Так, например, нецелесообразно включать в ПЗ и ЗБ правило ПБОр, являющееся простой переформулировкой угрозы.

Например, если идентифицирована угроза "Неуполномоченный субъект может получить логический доступ к ОО", то не имеет смысла включать в ПЗ и ЗБ следующее правило ПБОр: "Пользователи должны быть идентифицированы до предоставления им доступа".

Вышесказанное связано с тем, что сформулированное таким образом правило ПБОр не только просто переформулирует угрозу, но и заранее описывает цели безопасности.

Специфицировать соответствующие правила ПБОр имеет смысл в случаях, если ОО предполагается использовать в конкретных организациях, а также, если существует необходимость следования ОО ряду правил, которые не являются очевидными из описания угроз. Например:

a) идентификация применяемых правил управления информационными потоками;

b) идентификация применяемых правил управления доступом;

c) определение правил ПБОр для аудита безопасности;

d) решения, предписанные организацией, например, использование определенных криптографических алгоритмов или следование определенным стандартам.

Каждое правило ПБОр должно иметь уникальную метку.

Примеры правил ПБОр приведены в приложении B.