ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
8.7 Задание по безопасности для системы
Владелец системы должен зафиксировать определение проблемы безопасности, цели безопасности и требования безопасности для автоматизированной системы в ЗБС. Владелец также должен получать и документировать другую информацию, необходимую для завершения ЗБС, которая определена в приложении А.
Если владелец автоматизированной системы хочет определить требования для автоматизированной системы независимым от реализации способом, он может сначала разработать или заимствовать ПЗС. Обязательное и необязательное содержание ПЗС определено в приложении А.
ЗБС служит основой как для документирования возможностей обеспечения безопасности автоматизированной системы, так и для оценки этих возможностей в СОО. Оно обеспечивает свидетельство и информацию, необходимые для проведения оценки.
ЗБС отличается от ЗБ своей направленностью как на технические, так и на организационные меры безопасности автоматизированной системы. ЗБС можно подразделить на несколько отдельных доменов безопасности с различными функциональными мерами и мерами доверия. Однако, как и ЗБ, ЗБС может оцениваться на согласованность (непротиворечивость) независимо от самого СОО.
Впоследствии при оценке СОО могут быть идентифицированы несоответствия между ЗБС и СОО. Типы расхождений могут включать в себя:
a) аспекты реализованной среды автоматизированной системы, не согласующиеся со средой АС, которая специфицирована в ЗБС;
b) аспекты реализованных функциональных возможностей безопасности автоматизированной системы, отличающиеся от функциональных возможностей безопасности, которые специфицированы в ЗБС;
c) аспекты реализованных интерфейсов и соединений автоматизированной системы и их режимы работы, не согласующиеся с интерфейсами автоматизированной системы, которые специфицированы в ЗБС.
Владелец системы должен определить, реализованы ли среда, функциональные возможности или интерфейсы/соединения требуемым образом, а описание в ЗБС является неправильным, или среда, функциональные возможности или интерфейсы/соединения должны быть такими, как специфицировано в ЗБС. После завершения оценки необходимо внести соответствующие изменения. Эти изменения могут привести к изменениям в ЗБС и/или автоматизированной системе. По этим причинам после оценки ЗБС невозможно вынести окончательный вердикт, является ли ЗБС корректным представлением автоматизированной системы. Только после того, как оценка СОО будет завершена и несоответствия будут разрешены (устранены), можно будет подтвердить, что ЗБС является корректным представлением.
Сравнение элементов ЗБ, определенного в стандартах серии ИСО/МЭК 15408, и ЗБС, определенного в настоящем стандарте, а также их применимость для оценки автоматизированных систем приведены в таблице 4.
Таблица 4 - Сравнение элементов заданий по безопасности
Стандарты серии ИСО/МЭК 15408 | Автоматизированная система: ИСО/МЭК ТО 19791 | Применимость к автоматизированным системам |
Введение | Введение | Должны быть определены ИТ/эксплуатационные части СОО и интерфейсы с внешними автоматизированными системами. Может быть определена доменная организация |
Описание ОО | ||
Среда безопасности ОО | Проблемы безопасности | Вместо угроз следует определить риски. Предположения не должны быть определены, так как среда является реальной |
Цели безопасности | Цели безопасности | Должны быть определены цели безопасности для ИТ-частей и эксплуатационных частей СОО, а также для внешних автоматизированных систем |
Требования безопасности ИТ | Требования безопасности | Функциональные требования для ИТ-частей СОО. Эксплуатационные требования для эксплуатационных частей СОО. Должны быть определены требования доверия |
Краткая спецификация ОО | Краткая спецификация СОО | Должна быть описана функциональная, эксплуатационная спецификация и спецификации доверия |
Утверждения о соответствии ПЗ | Утверждение о соответствии | Могут быть определены утверждения о соответствии ПЗС, ПЗ и/или ЗБ |
- | Введение (доменная часть) | Должны быть определены ИТ/эксплуатационные части домена |
- | Проблемы безопасности (доменная часть) | Должны быть определены риски и ПБОр |
Цели безопасности (доменная часть) | Должны быть определены цели безопасности для ИТ- и эксплуатационных частей домена | |
Требования безопасности (доменная часть) | Должны быть определены функциональные требования для ИТ- и эксплуатационных частей домена. Должны быть определены требования доверия для домена | |
Краткая спецификация (доменная часть) | Должна быть описана функциональная, эксплуатационная спецификация и спецификации доверия для домена | |
Утверждение о соответствии (доменная часть) | Могут быть определены утверждения о соответствии ПЗС, ПЗ и/или ЗБ для домена |