Точный
Статус документа
Статус документа

ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия

     5.2 Формирование методов обеспечения доверия


Несомненно, многие пользователи будут применять несколько методов обеспечения доверия как по ИСО/МЭК 15408 и ИСО 9000, так и по ИСО/МЭК 15408 и ИСО/МЭК 21827.

В настоящем стандарте представлена структура, которую можно использовать для записи свидетельства/опыта лиц, применявших более одного метода обеспечения доверия. В нем также представлены понятия и универсальный язык, которым можно изложить взаимодействие между методами и подходами и таким образом способствовать изучению возможных комбинаций методов и подходов.

Способность объединять характеристики доверия различных подходов к обеспечению доверия облегчает достижение доверия к продуктам и системам путем принятия компонентов доверия из других подходов к обеспечению доверия в дополнение к используемому в данный момент подходу.

Например, если организация была сертифицирована по уровню 3 ИСО/МЭК 21827, ей может быть обеспечено доверие в рамках структуры оценивания ИСО/МЭК 15408 без необходимости для организации повторно предоставлять свидетельство, которое она уже представила для другого подхода к обеспечению доверия. Более того, это облегчит работу сертифицирующей организации, поскольку у нее имеется дополнительное свидетельство, которое теперь будет приемлемо при определении общего доверия к системе.

Сравнение методов обеспечения доверия может способствовать пониманию потенциальных ограничений подхода формирования доверия. Сравнение методов обеспечения доверия связано с возможностью устранения характеристик доверия, если существует вероятность их базирования на других атрибутах.

При применении методов обеспечения доверия безопасность рассматривается с разных сторон и в различном объеме, и эти методы предназначаются для разных пользователей и подразделений организации для выполнения разных целей. Ни один метод, рассматриваемый в настоящем стандарте, не может гарантировать "всеобщей" безопасности, которая должным образом обеспечит защиту имеющейся системы ИТ от всех значимых угроз. Следовательно, в большинстве случаев необходимо использовать комбинацию методов обеспечения доверия синергетическим способом.

Оптимального уровня безопасности можно достичь при условии сотрудничества поставщиков и пользователей ИТ.

Примеры, демонстрирующие аспекты формирования методов обеспечения доверия, приведены в приложении С.