Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     8.6 Цели безопасности (APE_OBJ)

8.6.1 Подвид деятельности по оценке (APE_OBJ.1)

8.6.1.1 Цели

Цель этого подвида деятельности - сделать заключение о том, четко ли определены цели безопасности для среды функционирования.

8.6.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.6.1.3 Действие APE_OBJ.1.1E

ИСО/МЭК 15408-3 APE_OBJ.1.1C: Изложение "Целей безопасности" должно включать в себя описание целей безопасности для среды функционирования ОО.

8.6.1.3.1 Шаг оценивания APE_OBJ.1-1

Оценщик должен проверить, определены ли в изложении "Целей безопасности" цели безопасности для среды функционирования ОО.

Оценщик проверяет, что цели безопасности для среды функционирования ОО однозначно идентифицированы.

8.6.2 Подвид деятельности по оценке (APE_OBJ.2)

8.6.2.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение, в полной ли мере и целесообразно ли "Цели безопасности" сопоставлены определению проблемы безопасности и четко ли определено разделение данной проблемы между ОО и его средой функционирования.

8.6.2.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ПЗ.

8.6.2.3 Действие APE_OBJ.2.1Е

ИСО/МЭК 15408-3 APE_OBJ.2.1C: Изложение "Целей безопасности" должно включать в себя описание целей безопасности для ОО и для среды функционирования ОО.

8.6.2.3.1 Шаг оценивания APE_OBJ.2-1

Оценщик должен проверить, что изложение "Целей безопасности" определяет "Цели безопасности для ОО" и "Цели безопасности для среды функционирования ОО".

Оценщик проверяет, что обе категории "Целей безопасности" ясно идентифицированы и отделены друг от друга.

ИСО/МЭК 15408-3 APE_OBJ.2.2C: В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, и к ПБОр, на осуществление которых направлена эта цель безопасности.

8.6.2.3.2 Шаг оценивания APE_OBJ.2-2

Оценщик должен проверить, что в "Обосновании целей безопасности" представлено прослеживание всех целей безопасности для ОО к угрозам, на противостояние которым направлены эти цели безопасности, и/или к ПБОр, на осуществление которых направлены эти цели.

Каждая цель безопасности для ОО может быть прослежена к угрозам или ПБОр или к комбинации угроз и ПБОр, но должна быть прослежена по крайней мере к одной угрозе или ПБОр.

Неудача при попытке такого прослеживания свидетельствует о том, что либо "Обоснование целей безопасности" является неполным, либо "Определение проблемы безопасности" является неполным, либо цель безопасности для ОО является бесполезной.

ИСО/МЭК 15408-3 APE_OBJ.2.3C: В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, к ПБОр, на осуществление которых направлена эта цель безопасности, а также к предположениям, поддерживаемым данной целью безопасности.

8.6.2.3.3 Шаг оценивания APE_OBJ.2-3

Оценщик должен проверить, что в "Обосновании целей безопасности" представлено прослеживание каждой цели безопасности для среды функционирования к угрозам, на противостояние которым направлена эта цель безопасности, к ПБОр, на осуществление которых направлена эта цель безопасности, и к предположениям, поддерживаемым этой целью безопасности.