ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

Приложение A
(рекомендуемое)

     
Резюме

A.1 Введение

Настоящее приложение содержит описание ключевых вопросов, изложенных в разделах 7-13.

А.2 Введение профиля защиты и задания по безопасности

В раздел "Введение ПЗ и ЗБ" необходимо включать обзор проблемы безопасности, которая подлежит решению в ПЗ и ЗБ, а также краткий обзор того, как ПЗ и ЗБ способствует решению проблемы безопасности. При этом необходимо обеспечить их соответствие содержанию ПЗ и ЗБ.

А.3 Описание объекта оценки

В раздел ПЗ и ЗБ "Описание ОО" необходимо включать описание всех функциональных возможностей ОО, а не только характеристик безопасности (если только обеспечение безопасности не является единственным предназначением ОО).

В раздел ПЗ "Описание ОО" описание "границ ОО" допускается не включать. Описание "границ ОО" - это описание того, что включает и не включает в себя ОО.

В раздел ЗБ "Описание ОО" описание "границ ОО" включают обязательно. "Границы ОО" должны быть определены как в части аппаратных и программных компонентов (физические границы), так и в части функциональных характеристик безопасности ОО.

Необходимо обеспечить соответствие раздела "Описание ОО" содержанию ПЗ и ЗБ.

А.4 Среда безопасности объекта оценки

А.4.1 Предположения безопасности

А.4.1.1 Идентификация

В подраздел "Предположения безопасности" необходимо включать перечень предположений относительно среды безопасности ОО, связанных с вопросами физической защиты, персоналом и вопросами связности среды и ОО.

А.4.1.2 Спецификация

Необходимо, по возможности, при формулировании предположений безопасности избегать включения любых деталей, касающихся функций безопасности ОО.

А.4.1.3 Представление

Для упрощения ссылок необходимо, чтобы каждое предположение безопасности было пронумеровано или имело уникальную метку.

А.4.2 Угрозы
     

    А.4.2.1 Идентификация

При идентификации угроз необходимо описать активы ИТ, подлежащие защите, методы нападений и другие нежелательные события, которые необходимо учитывать при защите, и источники угроз.

А.4.2.2 Спецификация

При спецификации необходимо обеспечить четкое описание угроз путем представления детальной информации относительно источника угрозы, активов ИТ, подверженных нападению, и метода нападения.

При этом необходимо обеспечить краткость в описании каждой отдельной угрозы с тем, чтобы минимизировать перекрытие описания различных угроз.

Описание угроз должно затрагивать только те потенциальные события, которые непосредственно могут привести к компрометации активов, подлежащих защите. В ПЗ и ЗБ не рекомендуется включать описание угроз, связанных с недостатками в реализации ОО.

А.4.2.3 Представление

Для упрощения ссылок необходимо, чтобы каждая угроза имела уникальную метку.

А.4.3 Политика безопасности организации