ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
6 Руководство
Для любого эффективного руководства требуются обобщение, упрощение и сосредоточенность. Для уменьшения числа методов, сравниваемых со значимыми и приемлемыми методами, анализируются три типичные ситуации. Эти ситуации называются "проблемы обеспечения доверия" и определяются следующим образом:
- доверие к разработке - разработка продуктов ИКТ обычно с учетом целей безопасности;
- доверие к интеграции - закупка и компоновка продуктов в систему информационных и коммуникационных технологий обычно для достижения целей или политики безопасности;
- доверие к функционированию системы ИКТ в соответствии с политикой безопасности данной организации.
Каждая проблема имеет свои особенности и отличия.
Концепцию проблемы обеспечения доверия можно легко представить наглядно, используя концепции жизненного цикла и подхода к обеспечению доверия, разработанные в ИСО/МЭК ТО 15443-1, наполненные содержанием в ИСО/МЭК ТО 15443-2 и дополненные этапом концепция/спецификация в соответствии с 4.2.3 настоящего стандарта.
Знание различных методов обеспечения доверия и подходов к ним позволяет органу обеспечения доверия определять методы, соответствующие бизнес-требованиям и проблеме обеспечения доверия. Важным аспектом, который следует иметь в виду, является конечная цель обеспечения доверия: получение уверенности заинтересованных сторон независимо от применяемого(ых) метода(ов).
Ввиду сложности требований безопасности, разнообразия методов обеспечения доверия и различия между ресурсами и культурами организаций рекомендация, приведенная в настоящем стандарте, будет носить качественный и обобщенный характер.
В настоящем стандарте руководство сосредоточено на нескольких методах, испытанных и повсеместно принятых для этих трех ситуаций с обеспечением доверия.
Рисунок 5 - Обеспечение доверия