ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
4.2 Применение методов обеспечения доверия
Методы обеспечения доверия обладают различимыми характеристиками, представленными в виде компонентов или аспектов. Для выбора из одного или нескольких методов необходимо определить те компоненты и аспекты, которые можно найти в различных методах обеспечения доверия в аналогичной форме. Тот или иной метод обеспечения доверия может включать в себя общие характеристики доверия или основываться на конкретных характеристиках.
В соответствии с ИСО/МЭК ТО 15443-1 и ИСО/МЭК ТО 15443-2 методы обеспечения могут формировать доверие к продукту путем оценки:
- продукта во время или после его изготовления;
- процессов, используемых при изготовлении продукта;
- среды, в которой реализуется продукт, то есть персонала и организации.
4.2.1 Строгость доверия
Строгость метода обеспечения доверия обычно определяет его применение (см. таблицу 3).
Таблица 3 - Строгость доверия и его использование
Уровень строгости | Использование доверия |
1 | Простая "печать утверждения доверия" |
2 | Заявления о доверии позитивного уровня |
3 | Конкретные факты, поддерживающие заявленное доверие |
4 | Конкретные факты, поддерживающие заявленное доверие, которое можно верифицировать |
5 | Представление доверия общей аудитории, например, совету директоров, и признание этой аудиторией |
6 | Представление доверия аудитории из специалистов по безопасности и признание этой аудиторией |
Примечания 1 Кроме того, необходимо принимать во внимание состав представительства и поддерживающих его аргументов. В особых ситуациях допускается применять ограничения. 2 При объединении оцененных компонентов доверия в развертываемую систему может произойти наложение систем показателей и/или могут задаваться вопросы по поводу брешей в системе безопасности. 3 В ИСО/МЭК ТО 15443-2 не приводится классификация строгости оценки. | |
4.2.2 Область применения
Полученное доверие также может изменяться в зависимости от области применения подхода к обеспечению доверия (см. таблицу 4).
Таблица 4 - Область применения подхода к обеспечению доверия
Подход к обеспечению доверия | Сосредоточенность метода обеспечения доверия | Область применения |
Продукт | Характеристики (завершенного конкретного) продукта, системы или услуги для определения доверия, которые можно вывести для этого продукта или системы | Некоторые аспекты продукта или системы |
Все аспекты продукта или системы | ||
Процесс | Процесс разработки, используемый организацией для конкретного продукта или системы с целью определения доверия, которое можно получить для этого продукта или системы | Некоторые аспекты разработки |
Все аспекты разработки | ||
Процесс разработки, используемый организацией для всех продуктов и систем | Некоторые аспекты разработки | |
Все аспекты разработки | ||
Среда | Лицо(лица), занятое(ые) в выполнении задач | Квалификация лица(лиц) |
Репутация | ||
Организация | Меры, наглядно принимаемые организацией в отношении любых обнаруженных позднее проблем, и время реализации этих мер | |
Репутация |
4.2.3 Применение и жизненный цикл
В ИСО/МЭК ТО 15443-1 была принята поэтапная модель на основе ИСО/МЭК ТО 15288. Каждый этап жизненного цикла системы соответствует процессам, применяемым к продукту в определенной среде. Каждый из процессов включает в себя совокупность видов деятельности и использует ресурсы своей среды.
Продукт, система или предоставляемая услуга обрабатываются в течение их жизненного цикла с применением процессов каждого этапа и их видов деятельности.
В ИСО/МЭК ТО 15443-1 представлена структура, позволяющая характеризовать тип продукта, подход к обеспечению доверия и этап обеспечения доверия, предназначенный для оценки.
По-прежнему существует много вопросов, касающихся обеспечения доверия, подлежащих рассмотрению. В данном разделе настоящего стандарта приводится расширение концептуальной структуры, представленной в ИСО/МЭК ТО 15443-1, в целях проведения дальнейшего анализа.
В настоящем стандарте поэтапная модель жизненного цикла усовершенствуется прибавлением этапа "Концепция/специализация" (см. таблицу 5).
Таблица 5 - Модель доверия жизненного цикла
Наличие процессов, соответствующих этапу концепции/специализации, обусловливается многими стандартами. Однако конкретный этап жизненного цикла этих процессов обычно не определяется. Некоторые методы обеспечения доверия предлагают определенные процессы и виды деятельности.
Поводом для этого расширения в настоящем стандарте является то, что безопасность ИКТ требует особого внимания и дополнительных усилий для получения согласованной и непротиворечивой спецификации характеристик безопасности продукта. Существует много методов обеспечения доверия, предлагающих определенные процессы и виды деятельности для этого этапа жизненного цикла системы, применимые для области безопасности ИКТ.