ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
8.2 Роли оценки и обязанности
Существуют виды деятельности, необходимые для оценки автоматизированной системы. Ими являются:
- разработка свидетельств оценки (включающих в себя оценку рисков, спецификацию ЗБС, свидетельства разработки и интеграции, эксплуатации, модификации);
- оценка (включая сертификацию результатов оценки);
- аттестация.
Для каждого из перечисленных видов деятельности должен быть назначен соответствующий персонал, его полномочия должны быть согласованы и необходимые задачи должны быть выполнены. Эти виды деятельности и связанные с ними роли и обязанности персонала представлены в таблице 1. Действия, необходимые в соответствии с требованиями настоящего стандарта, должны легко сопоставляться с ролями и обязанностями, определенными в данной таблице. Все действия следует также сопоставлять с разделами СЗБ, идентифицированными в таблице 1.
Таблица 1 - Роли и обязанности по оценке автоматизированных систем
Вид деятельности | Роль | Обязанность | Разделы ЗБС |
Разработка свидетельств для оценки | Высший менеджмент | Общая ответственность за безопасность. Определяет приемлемые риски. Санкционирует действия уполномоченных должностных лиц | Не определено |
Уполномоченные должностные лица организации | Оценивают и принимают остаточные риски | Определение проблемы безопасности | |
Агентство безопас ности | Устанавливает политики безопасности всей организации | ||
Владелец системы | Проводит оценку рисков. Определяет проблемы безопасности, которые должны быть учтены в системе (включая цели, требования). Подготавливает любой ПЗС (возможно, как представитель консорциума владельцев аналогичных систем). Санкционирует переоценку, связанную с изменениями в системе или ее среде. Анализирует состояние системы на основе отчетов о непрерывном мониторинге | Определение проблемы безопасности. Цели безопасности. Требования безопасности. Описание СОО | |
Разработчик/интег- ратор/проектирощик системы | Разработка или поддержка разработки ЗБС на основе проблемы безопасности, определенной владельцем системы. Разработка свидетельств разработки. Содействие (помощь) владельцу системы в уменьшении или устранении уязвимостей, выявленных во время оценки | Описание СОО. Технические меры безопасности. Требования доверия, относящиеся к разработке. Архитектура и краткая спецификация | |
Оператор/админис- тратор/ответственный за сопровождение | Поддержка разработки СЗБ. Разработка эксплуатационных свидетельств. Содействие (помощь) владельцу системы в уменьшении или устранении уязвимостей, выявленных в процессе оценки | Организационные меры. Требования доверия, относящиеся к эксплуатации. Архитектура и краткая спецификация | |
Оценка | Оценщик/лицо, осуществляющее сертификацию (сертификатор) | Оценивает систему на основе требований безопасности, сформулированных в СЗБ, чтобы сделать заключение о способности системы удовлетворять требованиям безопасности в данный момент времени. Обеспечивает независимую оценку безопасного функционирования системы на этапе ее эксплуатации. Выполняет переоценку, которая требуется, для поддержки изменений системы и ее среды. Сертифицирует результаты оценки. Предоставляет отчет об оценке и отчет о сертификации владельцу системы с рекомендациями, которые требуются для поддержки аттестации/авторизации системы | Все |
Аттестация | Аттестующий | Авторизует систему для использования или подтверждает приемлемость прогнозирования остаточных рисков перед уполномоченным должностным лицом | Определение проблемы безопасности |