ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
4.1 Определение цели доверия
Цели доверия зависят от следующих заданных требований доверия:
- поставщик продуктов может иметь обобщенные требования доверия, предназначенные для удовлетворения конкретных требований более чем одного пользователя, то есть требованиям коллектива пользователей его продукта, системы или услуги;
- у пользователя продукта существуют очень специфические требования, обычно зависящие от конкретной политики безопасности организации пользователя.
Ниже дается разъяснение заданных требований доверия и показана их связь с соответствующими предложениями доверия и их использованием.
Примечания
1 В А.1 приложения А приводятся различия между поставщиком аппаратных средств, поставщиком программного обеспечения, провайдером сети, оператором сервера, поставщиком он-лайновой информации и предприятием в качестве пользователя. В этом примере поставщики, очевидно, принадлежат к первой группе провайдеров доверия, а организация пользователя - к группе пользователей доверия. Однако остальные являются как поставщиками (провайдерами), так и пользователями доверия.
2 Организации может потребоваться объединение результатов доверия вследствие наличия двух или более источников доверия в совместимый общий результат. Это является важным аспектом, который будет рассматриваться в 5.2 и 6.2.3.1. Подобная ситуация возникает при наличии многочисленных результатов доверия для пользователя или при планировании провайдером доверия использования двух или более методов обеспечения доверия.
4.1.1 и 4.1.2 относятся к доверию к продукту во время его разработки и интеграции. Различие между предметами доверия обсуждается в разделе 6.
3 Следует учитывать, что организация пользователя обычно полностью отвечает за эксплуатацию продукта, даже если услуги по безопасности обусловлены субдоговором с провайдером услуг. Таким образом, требования пунктов 4.1.1 и 4.1.2 неприменимы напрямую к доверию к эксплуатации продукта.
4.1.1 Предложение доверия
С точки зрения организации, предлагающей продукты, системы или услуги в промышленных масштабах (или внутренним потребителям), применение соответствующего(их) метода(ов) обеспечения доверия будет определяться перспективным пользователем или коллективом пользователей, их опытом и размером их организации. Вследствие этих различий доверие придется модифицировать в соответствии с требованиями потребителя. В частности, доверие должно быть достаточно обобщенным, если получателем является коллектив пользователей.
Обычно, исходя из дополнительного периода от начала разработки изделия до выхода его на рынок и/или стоимости изделия, обеспечение доверия становится значимым фактором. Организации, обеспечивающей доверие, следует сравнить выгоды от обеспечения доверия со своими издержками на это обеспечение.
При условии вышеуказанного первыми двумя этапами процесса принятия решения является идентификация:
- причины возможной готовности пользователя заплатить за доверие;
- цели использования доверия пользователем.
Разрабатывая далее эти этапы, мы можем определить требования доверия потребителя и в итоге - приемлемые методы обеспечения доверия.
Рисунок 1 - Предложение доверия
Предлагаемые виды доверия можно представить, как это показано в таблице 1.
Таблица 1 - Предлагаемые виды доверия
Вид предлагаемого доверия | Целевой потребитель | Требования доверия потребителя | Требуемая строгость оценки |
Сквозное доверие | Конечный пользователь | Маркировка содержимого: понятная и различимая для конечного пользователя | Малая |
Доверие маркетинга | Общий коллектив пользователей | Маркер, метка, печать: | Низкая |
Внутреннее доверие | Внутренний потребитель | Пользовательская форма утверждения о доверии; предоставляется внутри организации и основана на доверии | Любая |
Внешнее доверие | Конкретный коллектив пользователей | Маркировка, включающая в себя исчерпывающие вспомогательные аргументы и материалы; может иметь ограниченное обращение | Высокая |
Доверие к небольшой организации | Небольшие организации | Маркер или печать; предназначены для создания доверия посредством убежденности; понятные и различимые для конечного пользователя, то есть признанный "знак качества". | Средняя |
Доверие к крупным организациям | Крупные организации | Детальное утверждение о доверии. | Высокая |
Санкционированное доверие | Конкретная современная организация | Сертификат или утверждение о пригодности. Форма доверия и даже используемый метод разрешается организацией, например, посредством договорных или регистрационных требований | Высокая |
Требования доверия потребителя идентифицируются в виде утверждения о доверии, обусловленного методом обеспечения доверия.
Необходимо также учитывать вспомогательные аргументы доверия и в особенности "строгость доверия" (см. таблицу 3). Большинство методов обеспечения доверия предъявляют более одного вида требований доверия, а строгость доверия изменяется в зависимости от метода обеспечения доверия. Следовательно, выбранные методы обеспечения доверия должны тщательно комбинироваться с целью безусловного удовлетворения требований пользователей и достижения их целей доверия.
4.1.2 Использование доверия
Пользователь предложения вида доверия имеет альтернативу. Будучи последней инстанцией доверия этого пользователя, целью пользователя является получение уверенности в том, что конкретный продукт соответствует его цели доверия, что и ожидается от продукта в плане безопасности в контексте организации, в рамках которой продукт должен внедряться, вводиться в действие и эксплуатироваться.