Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.5 Определение проблемы безопасности (APE_SPD)

8.5.1 Подвид деятельности по оценке (APE_SPD.1)

8.5.1.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том, что проблема безопасности, которая должна решаться применением ОО и его средой функционирования, четко определена.

8.5.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.5.1.3 Действие APE_SPD.1.1E

ИСО/МЭК 15408-3 APE_SPD.1.1С: "Определение проблемы безопасности" должно включать в себя описание угроз.

8.5.1.3.1 Шаг оценивания APE_SPD.1-1

Оценщик должен проверить, что "Определение проблемы безопасности" описывает угрозы.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что "Определение проблемы безопасности" описывает угрозы, которым должен противостоять ОО и/или его среда функционирования.

ИСО/МЭК 15408-3 APE_SPD.1.2C: Описание всех угроз должно проводиться в терминах источника угрозы, активов и негативного воздействия.

8.5.1.3.2 Шаг оценивания APE_SPD.1-2

Оценщик должен исследовать "Определение проблемы безопасности", чтобы сделать заключение о том, что все угрозы описаны с указанием источника угрозы, негативного воздействия и активов.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Источники угрозы могут быть описаны более подробно с указанием таких аспектов, как уровень навыков и способностей нарушителя, доступные ему ресурсы, возможности и мотивация.

ИСО/МЭК 15408-3 APE_SPD.1.3C: В "Определение проблемы безопасности" должно быть включено описание ПБОр.

8.5.1.3.3 Шаг оценивания APE_SPD.1-3

Оценщик должен проверить, что "Определение проблемы безопасности" описывает ПБОр.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ПЗ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что изложения ПБОр сформулированы в терминах правил или руководств, которые должны выполняться ОО и/или его средой функционирования.

Оценщик делает заключение о том, что каждая ПБОр объясняется и/или интерпретируется достаточно подробно для её однозначного и ясного понимания; ясное представление изложений политик безопасности необходимо для возможности сопоставления их с целями безопасности.

ИСО/МЭК 15408-3 APE_SPD.1.4C: "Определение проблемы безопасности" должно содержать описание предположений относительно среды функционирования ОО.

8.5.1.3.4 Шаг оценивания APE_SPD.1-4

Оценщик должен исследовать "Определение проблемы безопасности", чтобы сделать заключение о том, что оно включает в себя описание предположений относительно среды функционирования ОО.

Если нет никаких предположений, то этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что каждое предположение относительно среды функционирования ОО объясняется достаточно подробно для того, чтобы пользователи могли сделать заключение о том, соответствует ли их среда функционирования ОО данным предположениям. Если предположения неверно поняты, это может привести к тому, что ОО будет использоваться в среде функционирования, не обеспечивающей возможности его безопасного функционирования.