ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
Приложение А
(справочное)
Сравнения данных таблицы
Содержание настоящего приложения было сформировано из общедоступного материала.
А.1 Методы и целевые группы пользователей
Для идентификации альтернатив сформирована сводная таблица. Она характеризует различные методы обеспечения доверия в отношении того:
- ориентированы ли они на организационные или технические аспекты;
- ориентировано ли их использование на продукты или общие системы;
- предназначены ли они для поставщика или пользователя?
Таблица А.1 - Методы и целевые группы пользователей
Ключ: | ИСО/МЭК | ИСО/МЭК 19790 | ИСО/МЭК 21827 | ИСО/МЭК 13335 | ИСО/МЭК 27001, ИСО/МЭК 27002 | Руковод- | COBIT | ИСО 9000 | |
Тип предприятия | Поставщик аппаратных средств | S | P | P | S | S | X | ||
Поставщик программного обеспечения | P | P | P | S | S | S | X | ||
Оператор сервера | S | P | S | S | S | X | |||
Сетевой провайдер | S | P | S | P | P | S | X | ||
Поставщик он-лайновой информации | P | S | P | P | X | ||||
Предприятие в качестве пользователя | S | S | P | P | P | P | X | ||
Роль в рамках предприятия | Управление | P | P | S | P | P | |||
Управление проектом | P | P | P | P | P | P | P | P | |
Ответственный за безопасность ИТ | P | P | P | P | P | P | S | S | |
Управление ИТ | S | S | P | P | P | P | P | S | |
Администратор | S | S | P | S | S | ||||
Аудитор | S | S | S | P | S | ||||
Основные схемы сертификации
Некоторые методы обеспечения доверия имеют ассоциированные схемы сертификации для оценки результата доверия (см. таблицу А.2).
Таблица А.2 - Основные схемы сертификации
Подход к обеспечению доверия | Критерий оценки | Методология оценки | Аттестация персонала и/или оборудования | Схема оценки |
Продукт | ИСО/МЭК 15408 | ИСО/МЭК 18045 | Аттестация? | Национальные органы по сертификации с международным взаимным признанием |
Процесс | ИСО/МЭК 21827 | SSAM | SSO | Национальные/международные органы по сертификации, например ISSEA |
Среда (эксплуатация ИТ) | ИСО/МЭК 27001 | ИСО/МЭК 27006 | ||
Среда (организация) | ИСО 9000 | Национальные/международные органы по сертификации | Национальные/международные органы по сертификации |
А.2 Существующие методы обеспечения доверия
Методы, представленные в приложении B, и выводы в отношении проблем пользователя, приведенные в 5.1.4, представлены в таблице А.3.
Таблица А.3 - Существующие методы обеспечения доверия
Доверие к разработке | Доверие к интеграции | Доверие к эксплуатации | |
Доверие к продукту | По ИСО/МЭК 15408, | ||
Доверие к процессу | По ИСО/МЭК 21827 | По ИСО/МЭК 21827 | По ИСО/МЭК 27001, |
Доверие к среде | По ИСО/МЭК 27001, ИСО 9000 | По ИСО/МЭК 27001, ИСО 9000 | По ИСО/МЭК 27001, ИСО 9000 |