ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия

     2 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК ТО 15443-1 и ИСО/МЭК ТО 15443-2, а также следующие термины с соответствующими определениями.

2.1 активы (assets): Все, имеющее ценность для организации.

2.2 оценка (assessment): Систематическая проверка степени, в которой субъект способен выполнить определенные требования; является синонимом термина "оценивание" при применении к объекту.

[ISO/IEC 14598-1].

2.3 метод оценки (assessment method): Действие по применению конкретных документированных критериев оценки к объекту с целью определения приемлемости или разрешения на выпуск этого объекта.

2.4 орган обеспечения доверия (assurance authority): Лицо или организация, уполномоченные принимать решения (например, по выбору, спецификации, принятию, контролю за исполнением), связанные с обеспечением доверия к объекту, что однозначно приводит к формированию уверенности в безопасности объекта.

Примечание - В конкретных системах и организациях термин "орган обеспечения доверия" может иметь вид "орган оценки".

2.5 администратор доверия (assurance administrator): Лицо, ответственное (подотчетное) за выбор, внедрение или приемку объекта.

2.6 цель обеспечения доверия (assurance goal): Общие ожидаемые результаты в области безопасности, получаемые посредством применения действий по формальной и неформальной оценке.

2.7 предмет обеспечения доверия (assurance concern): Общий тип цели доверия, выполняемой главной группой органов доверия.

Примечание - В настоящем стандарте предмет доверия используется в целях обоснования анализов и выводов для руководства по обеспечению доверия, данного группе пользователей.

2.8 объект (deliverable): Продукт безопасности информационной технологии, система, услуга, процесс или в особенности фактор среды (то есть персонал, организация) как объект оценки доверия.

Примечания

1 Как определено ИСО/МЭК 15408-1, объектом может быть профиль защиты (ПЗ) или задание по безопасности (ЗБ).

2 В ИСО 9000 утверждается, что при использовании стандартов ИСО 9000 услугой является тип продукта или "продукта и/или услуги".

3 В настоящем стандарте и аналогично применению в ИСО 9000 термин "продукт" будет применяться вместо термина "объект" во всех частях ИСО/МЭК ТО 15443.

2.9 среда (environment): Условия, в которых выполняются процессы жизненного цикла (то есть люди, оборудование и другие ресурсы), и связанные с этими условиями характеристики доверия (например, репутация, сертификация).

Примечание - В настоящем стандарте "доверие к среде" означает то же, что "доверие к продукту" и "доверие к процессу".

2.10 система менеджмента информационной безопасности (information security management system; ISMS); СМИБ: Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

[ИСО/МЭК 27001:2005]

2.11 метод (method): Способ выполнения определенных действий в соответствии с планом получения воспроизводимых результатов систематическим и отслеживаемым образом.

2.12 показатель (metric): Количественная шкала и метод, которые могут применяться для измерений.

2.13 возможность процесса (process capability): Способность процесса к достижению требуемой цели.

2.14 продукт (product): Продукт, система, услуга безопасности информационных технологий.

Примечания

1 В ИСО/МЭК ТО 15443 и аналогично применению в ИСО 9000 во всех частях ИСО/МЭК ТО 15443 будет применяться термин "продукт" вместо термина "объект".

2 Термин "продукт" является синонимом термина "объект".

2.15 остаточный риск (residual risk): Риск, остающийся после обработки риска.