ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
Приложение В
(обязательное)
Функциональные требования безопасности автоматизированных систем
В.1 Введение
В данном приложении определены функциональные требования к мерам обеспечения безопасности автоматизированных систем, охватывающие аспекты управления и процедурные аспекты СОО. Описанные ниже требования используются в сочетании с техническими функциональными требованиями по ИСО/МЭК 15408-2 для удовлетворения целей безопасности для СОО. ИСО/МЭК 15408-2 используется в качестве основы для структуры этих компонентов.
Функциональные требования к мерам обеспечения безопасности автоматизированных систем классифицируются по рассматриваемым объектам, функциональным областям и действиям.
Объект - непосредственный объект применения мер обеспечения безопасности, такой как бизнес-данные, средства обработки информации или системы ИТ. Функциональная область - объект для таких определенных операций, как политика, менеджмент рисков или регистрация/запись. Каждая функциональная область образует в рамках класса семейство.
Действие - операция в определенной функциональной области; действие образует компонент в рамках семейства. Элементами являются конкретные определения правил и процедур для мер обеспечения безопасности.
В данном приложении определены новые классы организационных мер безопасности. Они включают в себя:
a) администрирование (FOD); специфицирует требования к организационным мерам, связанным с администрированием;
b) системы ИТ (FOS); специфицирует требования к организационным мерам, поддерживающие использование систем ИТ и оборудования;
c) активы пользователей (FOA); специфицирует требования к организационным мерам, связанные с управлением активами пользователей;
d) бизнес (FOB); специфицирует требования к организационным мерам, связанные с бизнес-процессами и функциями;
e) аппаратура и оборудование (FOP); специфицирует требования к организационным мерам, связанные с бизнес-оборудованием, аппаратурой и зданиями (сооружениями);
f) третьи стороны (FOT); специфицирует требования к организационным мерам, связанные с третьими сторонами;
g) управление (FOM); специфицирует требования к организационным мерам, связанные с деятельностью по менеджменту безопасности.
Семейства функций организационного управления в рамках этих классов приведены в таблице В.1.
Таблица В.1 - Семейства функций организационного управления
Класс | Семейство |
Администрирование (FOD) | Администрирование политик (FOD_POL) |
Администрирование по отношению к персоналу (FOD_PSN) | |
Администрирование управления рисками (FOD_RSM) | |
Администрирование управления инцидентами (FOD_INC) | |
Администрирование организации безопасности (FOD_ORG) | |
Администрирование соглашений об услугах (FOD_SER) | |
Системы ИТ (FOS) | Политика для систем ИТ (FOS_POL)_ |
Конфигурация систем ИТ (FOS_CNF) | |
Сетевая безопасность систем ИТ (FOS_NET) | |
Мониторинг систем ИТ (FOS_MON) | |
Системы ИТ (FOS) | Управление персоналом систем ИТ (FOS_PSN) |
Активы систем ИТ в автоматизированных системах (FOS_OAS) | |
Протоколирование в системах ИТ (FOS_RCD) | |
Активы пользователей (FOA) | Защита приватных данных (FOA_PRO) |
Защита информации в активах пользователей (FOA_INF) | |
Бизнес (FOB) | Бизнес-политики (FOB_POL) |
Непрерывность бизнеса (FOB_BCN) | |
Оборудование и аппаратура (FOP) | Передвижное оборудование (FOP_MOB) |
Съемное оборудование (FOP_RMM) | |
Дистанционное оборудование (FOP_RMT) | |
Системное оборудование (FOP_SYS) | |
Управление аппаратурой (FOP_MNG) | |
Третьи стороны (FOT) | Обязательства третьих сторон (FOT_COM) |
Управление взаимодействием с третьей стороной (FOT_MNG) | |
Управление (FOM) | Управление параметрами безопасности (FOM_PRM) |
Управление классификацией активов (FOM_CLS) | |
Управление обязанностями персонала, связанными с безопасностью (FOM_PSN) | |
Управление организацией безопасности (FOM_ORG) | |
Управление отчетами о безопасности (FOM_INC) |
Зависимости между компонентами этих семейств показаны в таблице В.2. Для каждого из компонентов, от которого зависит какой-либо функциональный компонент, выделена колонка таблицы В.2. Знак "Х" в таблице В.2 указывает на наличие зависимости между рассматриваемыми компонентами этих семейств.
Таблица В. 2 - Зависимости между компонентами организационного управления
Компоненты семейств | FOD_PSN.1 | FOD_PSN.3 | FOD_PSN.5 | FOD_PSM.1 | FOD_ORG.1 | FOD_ORG.2 | FOS_POL.1 | FOS_POL.4 | FOS_NET.1 | FOA_POL.3 | FOM_PRM.2 | FOM_INC.1 |
FOD_INC.1 | X | X | ||||||||||
FDS_SER.1 | X | |||||||||||
FOS_POL.1 | X | |||||||||||
FOS_PSN.1 | X | X | X | |||||||||
FOS_OAS.1 | X | |||||||||||
FOA_INF.1 | X | |||||||||||
FOB_POL.1 | X | |||||||||||
FOB_BCN.1 | X | |||||||||||
FOP_MNG.1 | X | |||||||||||
FOT_MNG.1 | X | |||||||||||
FOM_PRM.1 | X | |||||||||||
FOM_PSN.1 | X | |||||||||||
FOM_ORG.1 | X | |||||||||||
FOM_ORG.2 | X |
Некоторые требования для организационных мер обеспечения безопасности всегда реализуются как организационные требования и, следовательно, определяются как ОФБ. Другие требования могут быть организационными или техническими и, следовательно, описываться как ФБС.
По сравнению с требованиями ИСО/МЭК 15408-2 в настоящем стандарте имеется четыре различия в представлении. Иерархические компоненты организационных мер отсутствуют, так что соответствующие подзаголовки отсутствуют. Все действия по управлению регулируются явными компонентами, поэтому подзаголовки для действий по управлению не требуются. Подзаголовок аудита заменен на записи, которые лучше отражают процесс сбора необходимых свидетельств для организационных мер безопасности. Разрешенная заданием организация безопасности осуществляется более гибко, чем в ИСО/МЭК 15408-2. Идентификацию документов, описывающих сопутствующие политику, процедуры, правила, требования безопасности и другие меры обеспечения безопасности, можно определить как задание безопасности.
В.2 Класс FOD: Администрирование
Данный класс определяет требования к организационным мерам для администрирования автоматизированной системы.