Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.5 "Определение проблемы безопасности" (ASE_SPD)

9.5.1 Подвид деятельности по оценке (ASE_SPD.1)

9.5.1.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том, что проблема безопасности, которая должна решаться применением ОО и его средой функционирования, четко определена.

9.5.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.5.1.3 Действие ASE_SPD.1.1E

ИСО/МЭК 15408-3 ASE_SPD.1.1C: "Определение проблемы безопасности" должно содержать описание угроз.

9.5.1.3.1 Шаг оценивания ASE_SPD.1-1

Оценщик должен проверить, что "Определение проблемы безопасности" включает описание угроз.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ЗБ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что "Определение проблемы безопасности" описывает угрозы, которым должен противостоять ОО и/или его среда функционирования.

ИСО/МЭК 15408-3 ASE_SPD.1.2C: Описание всех угроз должно проводиться в терминах источника угрозы, активов и негативного действия.

9.5.1.3.2 Шаг оценивания ASE_SPD.1-2

Оценщик должен исследовать "Определение проблемы безопасности", чтобы сделать заключение о том, что все угрозы описаны в терминах источника угрозы, негативного действия и активов.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ЗБ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Источники угроз могут быть описаны более подробно, с указанием таких аспектов, как уровень навыков и способностей нарушителя, доступные ему ресурсы, возможности и мотивация.

ИСО/МЭК 15408-3 ASE_SPD.1.3C: В "Определение проблемы безопасности" должно быть включено описание ПБОр.

9.5.1.3.3 Шаг оценивания ASE_SPD.1-3

Оценщик должен проверить, что "Определение проблемы безопасности" включает описание ПБОр.

Если все цели безопасности получены из предположений и/или только из ПБОр, изложение угроз не обязательно должно присутствовать в ЗБ. В этом случае этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что изложения ПБОр приведены в виде правил или руководств, которые должен выполнять ОО и/или его среда функционирования.

Оценщик делает заключение о том, что каждая ПБОр объясняется и/или интерпретируется с достаточной степенью детализации для того, чтобы она была однозначно понятной; четкое представление изложений политик безопасности необходимо для сопоставления их с целями безопасности.

ИСО/МЭК 15408-3 ASE_SPD.1.4C: "Определение проблемы безопасности" должно содержать описание предположений относительно среды функционирования ОО.

9.5.1.3.4 Шаг оценивания ASE_SPD.1-4

Оценщик должен исследовать "Определение проблемы безопасности", чтобы сделать заключение о том, что она включает в себя предположения о среде функционирования ОО.

Если нет никаких предположений, то этот шаг оценивания не применим и считается удовлетворенным.

Оценщик делает заключение о том, что каждое предположение о среде функционирования ОО объяснено с достаточной степенью детализации для того, чтобы позволить пользователям сделать заключение о том, соответствует ли их среда функционирования ОО данному предположению. Если предположения неверно поняты и интерпретированы, может возникнуть ситуация, при которой ОО используется в среде функционирования, в которой он не будет функционировать безопасным способом.