Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     9.6 Цели безопасности (ASE_OBJ)

9.6.1 Подвид деятельности по оценке (ASE_OBJ.1)

9.6.1.1 Цели

Цель данного подвида деятельности - сделать заключение о том, четко ли определены цели безопасности для среды функционирования.

9.6.1.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.6.1.3 Действие ASE_OBJ.1.1E

ИСО/МЭК 15408-3 ASE_OBJ.1.1C: Изложение "Целей безопасности" должно включать в себя описание целей безопасности для среды функционирования ОО.

9.6.1.3.1 Шаг оценивания ASE_OBJ.1-1

Оценщик должен проверить, определены ли в изложении "Целей безопасности" цели безопасности для среды функционирования.

Оценщик должен проверить, что цели безопасности для среды функционирования ОО определены.

9.6.2 Подвид деятельности по оценке (ASE_OBJ.2)

9.6.2.1 Цели

Цель этого подвида деятельности состоит в том, чтобы сделать заключение о том, адекватно и полностью ли цели безопасности охватывают "Определение проблемы безопасности" и четко ли определено разделение данной проблемы между ОО и его средой функционирования.

9.6.2.2 Исходные данные

Свидетельством оценки для этого подвида деятельности является ЗБ.

9.6.2.3 Действие ASE_OBJ.2.1Е

ИСО/МЭК 15408-3 ASE_OBJ.2.1C: Изложение "Целей безопасности" должно включать в себя описание целей безопасности для ОО и для среды функционирования ОО.

9.6.2.3.1 Шаг оценивания ASE_OBJ.2-1

Оценщик должен проверить, что изложение "Целей безопасности" определяет цели безопасности для ОО и цели безопасности для среды функционирования ОО.

Оценщик проверяет, что обе категории "Целей безопасности" ясно идентифицированы и отделены друг от друга.

ИСО/МЭК 15408-3 ASE_OBJ.2.2C: В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, и к ПБОр, на осуществление которых направлена эта цель безопасности.

9.6.2.3.2 Шаг оценивания ASE_OBJ.2-2

Оценщик должен проверить, что в "Обосновании целей безопасности" представлено, прослежены ли все цели безопасности для среды к идентифицированным угрозам, на противостояние которым направлены данные цели, и/или к ПБОр, на осуществление которых направлены эти цели.

Каждая цель безопасности для ОО может быть прослежена к угрозам или ПБОр или к сочетанию угроз и ПБОр, и должна быть прослежена по крайней мере к одной угрозе или ПБОр.

Неудача при попытке такого прослеживания свидетельствует о том, что либо "Обоснование целей безопасности" является неполным, либо изложение "Определения проблемы безопасности" является неполным, либо цель безопасности для ОО является бесполезной.

ИСО/МЭК 15408-3 ASE_OBJ.2.3C: В "Обосновании целей безопасности" каждая цель безопасности для ОО должна быть прослежена к угрозам, на противостояние которым направлена эта цель безопасности, к ПБОр, на осуществление которых направлена эта цель безопасности, а также к предположениям, поддерживаемым данной целью безопасности.

9.6.2.3.3 Шаг оценивания ASE_OBJ.2-3

Оценщик должен проверить "Обоснование целей безопасности", чтобы сделать заключение, прослежены ли цели безопасности для среды функционирования к идентифицированным угрозам, на противостояние которым направлена эта цель безопасности, к ПБОр, на осуществление которых направлена эта цель безопасности, и/или к предположениям, которые поддерживаются этой целью безопасности.