Приложение А (обязательное). Профили защиты и задания по безопасности для автоматизированных систем. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 19791-2008 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 525-ст)

Приложение А
(обязательное)

Профили защиты и задания по безопасности для автоматизированных систем

А.1 Спецификация заданий по безопасности для систем

А.1.1 Краткий обзор

В данном подразделе определяется концепция и содержание задания по безопасности для системы (ЗБС).

ЗБС обеспечивает спецификацию реализованных возможностей обеспечения безопасности автоматизированной системы при ее использовании в среде эксплуатации для противодействия оцененным рискам и/или осуществления политик безопасности организации для достижения приемлемого уровня остаточного риска. Автоматизированная система состоит из интегрированной комбинации функций технических и организационных мер безопасности. В ЗБС излагаются требования и режим функций, реализующие цели безопасности посредством основанных на технологиях и эксплуатации механизмах. Кроме того, в ЗБС описываются меры, обеспечивающие доверие, исходя из способности автоматизированной системы соответствовать своим функциональным целям при работе на приемлемом уровне остаточного риска.

ЗБС служит основанием для проведения оценки автоматизированной системы. Следовательно, в ЗБС должно содержаться описание автоматизированной системы, которое является:

a) достаточно полным. Каждому риску оказывается достаточное противодействие, и каждая политика безопасности организации в достаточной степени осуществляется комбинацией функций технических и организационных мер безопасности;

b) соответствующим и необходимым решением заявленной проблемы. Комбинация функций технических и организационных мер безопасности эффективна при противодействии неприемлемым рискам, а меры доверия обеспечивают достаточное доверие к правильности и эффективности осуществляемых функций безопасности;

c) точной реализацией любых ПЗС, ПЗ или ЗБ, соответствие которым оно утверждает полностью или частично.

Концепция и структура ЗБС основана на расширении концепции и структуры стандартов серии ИСО/МЭК 15408 для ЗБ. Краткое изложение концептуальных различий между ЗБ и ЗБС приведено в таблице А.1.

Таблица А.1 - Краткое изложение различий между ЗБ и ЗБС

	ЗБ "для продукта"	ЗБС
Структура детализации	Сосредоточение на одном "блоке"	Усиление внимания к рассмотрению больших и более сложных группирований компонентов систем, которые можно разделить на домены безопасности
Цели безопасности	Специально для ИТ и отсутствие прямого соответствия целей безопасности требованиям доверия	Конкретные цели, сопоставимые с конкретными требованиями доверия. Взаимосвязь организационных мер безопасности (физических, процедурных и политики) и их вклад в документированное обеспечение безопасности системы и выбранные меры доверия
Документирование среды	Рассматривается в минимальной степени за пределами области оценки риска в виде предположений	Должно быть четко определено и документировано без предположений
Оценка риска	Определяет не связанные с ИТ процедуры как предположения и связанное с ними соответствие продукта	Определяет риски как "известные", и для организационных мер безопасности может потребоваться оценка в отношении их адекватности в интегрированной среде системы
Описание ОО	Сосредоточение на ИТ	Определяет среду технических и организационных мер безопасности, их интерфейсы и взаимоотношения
Требования соотвествия	Строго выполняемые функции ИТ	Может перераспределять выполняемые функции (например, технические и организационные меры безопасности)
Структура системы	Основано на "автономном" продукте	Обычно разделяется на четкие домены безопасности с различными мерами обеспечения безопасности

А.1.2 Содержание ЗБС

ЗБС должно соответствовать требованиям к содержанию, изложенным в настоящем приложении. ЗБС должно быть представлено как ориентированный на пользователя документ, минимизирующий ссылки на другие итериалы, которые могут не быть доступными пользователю ЗБС. При необходимости обоснование может предоставляться отдельно.

ЗБС должно включать в себя:

a) общую часть, применимую ко всему СОО;

b) части домена безопасности, одну для каждого домена, определенного в СОО, и описывающую уникальные аспекты этого домена.

Общая часть должна содержать:

a) введение ЗБС;

b) требования соответствия;

c) определение проблем безопасности;

d) цели безопасности;

e) расширенное определение компонентов;

f) требования безопасности;

g) краткую спецификацию СОО.

Для каждого домена безопасности, образующего часть автоматизированной системы, необходимо включать:

a) введение доменов безопасности;

b) требования соответствия доменов безопасности;

c) определение проблем доменов безопасности;

d) цели безопасности доменов безопасности;

е) требования безопасности доменов безопасности;

f) краткую спецификацию доменов безопасности.

Некоторые разделы ЗБС могут быть незаполненными из-за отсутствия релевантной информации. Требования соответствия появляются только в случае утверждения соответствия ЗБС одному или нескольким ПЗС, ПЗ или ЗБ. Некоторые подразделы информации из домена безопасности являются необязательными. Их необходимо обозначать только в случае наличия у доменов безопасности уникальных проблем, целей или требований безопасности, которые не относятся к СОО в целом.

Спецификации, представленные в данном разделе, взяты частично из спецификаций ЗБ, содержащихся в приложении А к ИСО/МЭК 15408-1 и, частично, из дополнительных требований ЗБС, определенных в настоящем стандарте.

А.1.3 Введение задание по безопасности системы

Во введении ЗБС должны идентифицироваться ЗБС и СОО и обеспечиваться обзор СОО, описание СОО и организация доменов. Введение ЗБС должно содержать информацию об управлении документами и обзорную информацию с учетом того, что:

a) идентификация ЗБС и СОО должна обеспечить информацию о маркировке и описательную информацию, необходимую для контроля и идентификации ЗБС и СОО, к которым относится информация;

b) цели СОО должны резюмироваться в кратком обзоре СОО и представляться в форме отчета. Обзор должен быть достаточно подробным, чтобы потенциальный пользователь мог определить, представляет ли для пользователя интерес ЗБС;

c) в описании СОО должны быть намечены функции и границы СОО в форме отчета;

d) в спецификации структуры доменов должно быть изложено разделение СОО на домены с уникальными требованиями безопасности.

Для краткого обзора СОО установленные содержание или план отсутствуют, но в обзоре должны отражаться цель или задача автоматизированной системы, обзор системы в контексте среды ее эксплуатации и описание системы в отношении деловой деятельности, руководства и технической архитектуры. Необходимо определить взаимосвязь между СОО и внешними автоматизированными системами, а также интерфейсы между СОО и этими системами.

Для описания СОО отсутствует какое-либо заданное содержание или план, но в нем должны излагаться область применения и границы СОО (как логические, так и физические границы). В области применения должны также указываться организация и место разработки СОО, включая любые уникальные характеристики отдельных доменов, например, доменов, основанных на серийно выпускаемых продуктах.

Автоматизированная система состоит из одного или нескольких доменов безопасности. Каждый домен безопасности включает в себя несколько компонентов, и к нему могут предъявляться собственные требования доверия к безопасности. Спецификация структуры доменов должна подробно документировать структуру доменов безопасности, границы доменов и их интерфейсы.

В лучшем случае СОО будет состоять из компонентов, полностью определяющих автоматизированную систему как закрытый объект, в силу чего отсутствуют какие-либо интерфейсы с внешними автоматизированными системами, не включенные в оценку. С практической точки зрения данный наилучший случай иногда невозможен, и необходимо определить четкое разделение частей автоматизированной системы, которые подвергнутся оценке в качестве интегрированной единицы, и частей, не входящих в область действия оценки. Компоненты, не входящие в область действия оценки, рассматриваются как часть внешних автоматизированных систем.

Концепция автоматизированной системы основана на интерфейсах между ее компонентами. Без интерфейсов автоматизированной системы не существует. Следовательно, интерфейсы критически важны для определения автоматизированной системы и равно важны для способности автоматизированной системы осуществлять политику безопасности через ее интерфейсы. Спецификация структур доменов обеспечивает обзор различных компонентов автоматизированной системы, включая способ их соединения. Детали интерфейсов оставлены в спецификациях интерфейсов для проектирования и интеграции. Однако спецификация структур доменов должна определять характеристики безопасности отдельных доменов, которые задаются другим доменам, а также услуги по обеспечению безопасности, предлагаемые отдельными доменами, недоступные другим доменам.

А.1.4 Утверждения о соответствии

Настоящий подраздел применим только в случае утверждения соответствия ЗБС одному или нескольким ПЗС, ПЗ, ЗБ или пакетам требований безопасности. Настоящий подраздел также представляет свидетельство того, что ЗБС является приемлемой реализацией любого ПЗС, ПЗ, ЗБ или пакета требований, соответствие которым утверждается. Обоснование утверждений соответствия должно демонстрировать согласованность между целями и требованиями безопасности ЗБС и целями и требованиями ПЗС, ПЗ, ЗБ или пакетов требований, соответствие которым утверждается.

Основное внимание утверждения соответствия уделяется "эквивалентности" с точки зрения соответствия основному набору критериев, изложенному в ПЗС, ПЗ, ЗБ или пакетах требований. ЗБС может быть функциональным надмножеством пакета или профиля, но оно не должно быть подмножеством.

Основным различием между утверждениями соответствия автоматизированной системы и продукта заключается в том, что для автоматизированной системы можно перераспределять выполняемые функции между частями технических и организационных мер безопасности системы, поскольку они все считаются частью СОО. При оценке продукта распределение выполняемых функций ИТ в среду, не связанную с ИТ, изменяет всю концепцию продукта и аннулирует цель деятельности по оценке продукта.

А.1.5 Определение проблемы безопасности

А.1.5.1 Краткий обзор

Подраздел определения проблем безопасности в ЗБС должен предоставлять когерентное, последовательное и достаточно полное определения проблем безопасности, которые могут стоять перед автоматизированной системой. Проблемы безопасности сформулированы в рисках, которым противодействует автоматизированная система, и политиках безопасности организации, поддерживающих использование автоматизированной системы и управляющих ею для снижения риска этой системы до приемлемого уровня.

Определение проблем безопасности должно определять:

a) риски, применимые к СОО;

b) политики безопасности организации, применимые к СОО.

В настоящем пункте должны идентифицироваться проблемы безопасности, относящиеся ко всему СОО. Возможно, что различные домены безопасности СОО будут реализовываться в различных средах эксплуатации, и результатом этого могут стать различные или специфические риски или политики, которые должны независимо рассматриваться разными доменами безопасности автоматизированной системы. Для каждого домена безопасности должны быть определены дополнительные проблемы безопасности, присущие только этому домену.

Зная, что настоящему подразделу предшествует "введение СОО", важно, чтобы любой материал, представленный в настоящем пункте по СОО, согласовывался с информацией, представленной во "введении СОО".

А.1.5.2 Идентификация рисков

В настоящем пункте все риски, применимые к СОО, должны описываться на основе оценки риска автоматизированной системы. Каждый риск должен категоризироваться как "приемлемый" или "неприемлемый", т.е. требующий снижения или устранения посредством технических или организационных мер в пределах СОО. Принятые риски тем не менее должны идентифицироваться, поскольку приемлемость рисков может со временем измениться.

Перечень рисков должен включать в себя риски, связанные с разработкой автоматизированной системы. Описание каждого риска должно быть достаточно подробным, чтобы идентифицировать активы, которые могут быть повреждены или скомпрометированы, угрозы и уязвимости, применимые для каждого актива, и воздействия успешной атаки. Угрозы должны характеризоваться, исходя из ассоциированных источников угроз и их потенциально враждебных действий, направленных против активов. При оценке рисков должны идентифицироваться все возможные риски для автоматизированной системы, включая риски, которым противодействуют, или которые устраняются имеющимися мерами обеспечения безопасности.

Примечание - Источники угроз могут включать в себя природные явления, такие как катастрофы, а также человека и созданные им специальные компьютерные программы.

Со временем могут идентифицироваться дополнительные риски или изменяться последствия нарушения безопасности. В течение жизненного цикла системы оценка риска должна повторяться, ЗБС обновляться и, если это необходимо, автоматизированная система оцениваться повторно.

В настоящем подразделе должны идентифицироваться и категорироваться риски, связанные с эксплуатацией системы в целом, например, риски, связанные со служащими или деловыми активами. Некоторые риски, например, риски, связанные с обработкой приложений, могут относиться только к определенному домену безопасности и, следовательно, должны идентифицироваться и анализироваться только для этого домена.

А.1.5.3 Политики безопасности организации (ПБОр)

В автоматизированных системах область применения ПБОр расширена для включения в нее проблем управления процессами жизненного цикла и эксплуатации, которые не рассматриваются во время оценки по стандартам серии ИСО/МЭК 15408. Политики управления процессами жизненного цикла и эксплуатации включает в себя:

a) основные законы и директивы;

b) непрерывность деловой деятельности;

c) соглашения по применениям внутри организации (т.е. внутрислужебное соглашение или меморандум о взаимопонимании).

А.1.6 Цели безопасности

Цели безопасности, содержащиеся в подразделе "цели безопасности" ЗБС, должны обеспечивать когерентное, последовательное и достаточно полное высокоуровневое описание решения безопасности, основанного на определении неприемлемых рисков и политик безопасности организации в разделе определения проблем безопасности. Высокоуровневое описание осуществляется, исходя из функциональных целей безопасности, которые впоследствии распределяются между техническими и организационными мерами безопасности автоматизированных систем или другими автоматизированными системами, сопряженными с данной системой. Обоснование должно демонстрировать, что установленные цели безопасности прослеживаются до всех аспектов, указанных в определении проблем безопасности ЗБС и пригодных для их обеспечения. Обоснование должно обеспечивать полную прослеживаемость между заявленными целями безопасности и всеми аспектами формулировки проблемы безопасности и иметь достаточно информации для определения эффективности противодействия целей безопасности установленным неприемлемым рискам и осуществления установленных политик безопасности организации.

Существует другой тип цели безопасности, управляющий проверочными действиями по созданию и анализу свидетельства и наблюдению и испытанию реализации на соответствие требованиям. Обоснование этому типу цели безопасности обычно не приводится при оценке по стандартам серии ИСО/МЭК 15408 (т.е. конкретные цели безопасности не сопоставляются с конкретными требованиями доверия). В результате этого в документах ПЗ/ЗБ продукта мало информации, обосновывающей выбранные меры доверия, если таковая вообще имеется. Однако для автоматизированной системы необходима четкая формулировка целей доверия, выведенная из аспектов доверия проблемы безопасности для обоснования мер доверия, применимых к автоматизированной системе в целом. Эти меры доверия можно применить к среде разработки ОО или среде эксплуатации.

Формулировка целей безопасности должна охватывать все необходимые меры обеспечения безопасности, включая оба типа уже имеющихся мер обеспечения безопасности, а также меры, которые должны быть приняты как часть реализации автоматизированной системы.

Цели безопасности, выбранные для реализации одного аспекта проблемы безопасности, могут также обеспечивать законченные или частичные решения в других областях. В частности, цели безопасности могут учитывать риски, принятые после их оценки, т.е. категорированные как "допустимые", "приемлемые", "передаваемые" или "риски, которые можно избежать". Подобные случаи должны идентифицироваться и регистрироваться, так как приемлемость рисков может со временем меняться.

Цели безопасности предоставляют на самом высоком уровне формулировку стратегии и философии противодействия определенным рискам для осуществления определенных политик безопасности организации. Для автоматизированных систем критически важна точность целей безопасности. Точность требуется как в отношении того, как цели прослеживают и включают формулировки, принятые при определении проблем безопасности, гак и как цели безопасности распределяют решение компонентам автоматизированной системы и физическим процессам.

В отношении установленных рисков и политик безопасности организации цели безопасности должны рассматриваться более подробно, чем в отношении продукта. Более подробное рассмотрение целей безопасности в отношении установленных рисков и политик безопасности организации объясняется воздействием, которое среда оказывает на оценку автоматизированной системы, и детальной осведомленностью о среде, которая должна быть зарегистрирована в целях безопасности.

Кроме того, цели безопасности автоматизированной системы должны обеспечивать равновесие, достигнутое при менеджменте общего остаточного риска.

Возможно, чтобы разные домены безопасности автоматизированной системы оказывали поддержку и реализовывались в разных средах эксплуатации. Например, возможность мониторинга автоматизированной системой входящего сетевого трафика может конфигурироваться как "выключено", тогда как возможность мониторинга автоматизированной системой сетевого трафика, входящего во внутреннюю сеть, конфигурируется как "включено". В результате для различных доменов безопасности могут существовать различные или уникальные цели безопасности. Для определенных доменов безопасности могут существовать дополнительные цели доверия для выполнения уникальных требований к доверию, применимых только к этим областям.

А.1.7 Определение компонентов расширения

В некоторых случаях подходящие компоненты для описания требований безопасности отсутствуют в стандартах серии ИСО/МЭК 15408 или в настоящем стандарте. В таких случаях в настоящем подразделе ЗБС необходимо определить новые компоненты. Новые расширенные компоненты могут использоваться для определения дополнительных функциональных требований и требований доверия.

А.1.8 Требования безопасности

Настоящий подраздел должен предоставлять полный и последовательный набор требований безопасности для СОО. Настоящий подраздел включает в себя как функциональные требования автоматизированной системы, так и требования доверия к безопасности автоматизированной системы. Он применим как к техническим, так и организационным мерам безопасности, предусмотренным для соответствия целям безопасности автоматизированной системы. Эти требования должны обеспечивать адекватную базу для разработки процессов, процедур, механизмов и услуг безопасности, которые могут быть сконфигурированы для осуществления определенных политик и противодействия идентифицированным рискам. Обоснование требований безопасности должно демонстрировать пригодность набора требований безопасности для выполнения всех целей безопасности ЗБС и их прослеживаемость для достижения этих целей.

В некоторых случаях требования безопасности автоматизированной системы можно сформулировать без обоснования, т.е. они не являются следствием целей безопасности, которые сами выведены из определений проблем безопасности. В этих случаях подразделы "цели безопасности" и "определение проблем безопасности" в ЗБС можно опустить.

В настоящем подразделе должны излагаться функции безопасности системы и меры доверия к безопасности системы, требуемые для автоматизированной системы, исходя из заполненных (завершенных) компонентов безопасности.

Вполне возможно, что различные домены безопасности автоматизированной системы будут реализовываться в различных средах эксплуатации.

В результате могут существовать различные или уникальные функциональные требования для каждого домена безопасности, необходимые для выполнения уникальных целей безопасности этого домена. Аналогично требования доверия к безопасности не следует применять ко всем компонентам автоматизированной системы в одинаковом объеме. Различным доменам безопасности, определенным в ЗБС, необходимо распределять соответствующие уровни и типы доверия.

А.1.9 Краткая спецификация СОО

Краткая спецификация СОО должна предоставлять когерентное, последовательное и достаточно полное описание механизмов безопасности, услуг, интерфейсов, организационных мер безопасности и мер доверия и демонстрировать их соответствие определенным требованиям безопасности автоматизированной системы. Обоснование краткой спецификации СОО должно показывать пригодность функций безопасности и мер доверия СОО для выполнения требований безопасности СОО.

Необходимо, чтобы в ЗБС содержалось достаточно информации о структуре автоматизированной системы с тем, чтобы читатель понял решение, предоставляемое для выполнения требований безопасности. Подробности определения подсистем, интерфейсов и межсоединений и назначение функциональных требований различным подсистемам, которые образуют автоматизированную систему, должны оставляться для использования в последующей проектной документации. В структуре и краткой спецификации ЗБС должны учитываться взаимодействия между доменами безопасности и доменами и их средой.

А.1.10 Информация о доменах безопасности

Настоящий подраздел ЗБС должен предоставлять информацию, относящуюся к каждому домену безопасности, образующему часть полной автоматизированной системы. В информации должна предоставляться точная и корректная идентификация каждого домена безопасности и специфическая для домена информация о безопасности, которая может потребоваться.

Если в СОО имеется только один домен безопасности, его необязательно явно называть или идентифицировать, и настоящий подраздел следует опустить.

Информация для каждого домена безопасности должна содержать:

а) введение домена безопасности должно предоставлять маркировочную и описательную информацию, необходимую для управления и идентификации домена безопасности и СОО, к которому он относится, резюми ровать домен и представлять в форме отчета. Для понимания бизнес-функций домена безопасности и требований безопасности его обзор должен быть достаточно подробным;

b) утверждения соответствия домена безопасности должны определять любые утверждения соответствия, уникальные для домена. Если домен безопасности не имеет утверждений соответствия, настоящий подраздел можно опустить;

с) определение проблем безопасности домена безопасности должно определять любые проблемы безопасности, уникальные для домена. Определение проблем безопасности домена безопасности должно включать в себя политики и риски, уникальные для домена. При отсутствии уникальных проблем безопасности домена настоящий подраздел можно опустить;

d) цели безопасности домена безопасности должны определять любые цели безопасности, уникальные для домена. Цели безопасности домена безопасности должны включать в себя цели безопасности, доступные для других доменов или реализуемые другими областями. При отсутствии уникальных целей безопасности для домена безопасности данный подраздел можно опустить;

е) требования безопасности домена безопасности должны определять любые требования безопасности, уникальные для домена. При отсутствии уникальных требований безопасности для домена безопасности настоящий подраздел можно опустить;

f) краткая спецификация домена безопасности должна определять любые механизмы, услуги, интерфей-сы, организационные меры безопасности и меры доверия, уникальные для домена. При отсутствии уникальных механизмов, услуг, интерфейсов, организационных мер безопасности и мер доверия настоящий подраздел можно опустить.

А.2 Спецификация профилей защиты систем

А.2.1 Краткий обзор

В данном подразделе определяется концепция и содержание профиля защиты системы (ПЗС).

Концептуально ПЗС выполняет ту же функцию, что и профиль защиты по стандартам серии ИСО/МЭК 15408; ПЗС предоставляет собой определение характеристик приемлемого решения проблемы безопасности. Однако ПЗС приходится иметь дело с интеграцией технических и организационных мер безопасности, и может потребоваться интегрирование многочисленных компонентов или подсистем с различными политиками безопасности и/или средами эксплуатации.

ПЗС должен быть способен представлять варианты и условные решения. Пример приводится в определении целей безопасности. Могут существовать решения как технических, так организационных мер обеспечения безопасности, относящихся к конкретному риску и приемлемых с точки зрения эксплуатации и стоимости. ПЗС может предлагать автору ЗБС на выбор различные приемлемые и обоснованные решения.

ПЗС должен обладать способностью передавать определенные общие меры обеспечения безопасности, например, в организации может быть принята политика применения некоторых организационных мер безопасности к информационным системам внутри организации.

Наконец, схема детализации ПЗС должна обладать достаточной гибкостью для повторного использования автоматизированной системы, оцененной на основе ПЗС, в качестве оцененного компонента большей системы.

ПЗС может также использоваться как часть спецификации закупки при приобретении автоматизированной системы. Для этого ПЗС должен содержать описание возможностей безопасности автоматизированной системы, которое должно быть:

а) достаточно полным. К каждому риску применяются достаточные контрмеры, и каждая политика организации в достаточной степени осуществляется предписанной комбинацией функций технических и организационных мер безопасности (или выбранным вариантом, если ПЗС допускает альтернативы);

b) соответственным и необходимым решением заявленной проблемы безопасности. Комбинация функций технических и организационных мер обеспечения безопасности эффективна при противодействии неприемлемым рискам и осуществлении политик безопасности организации, а меры доверия обеспечивают достаточное доверие к правильности и эффективности реализации функций безопасности;

с) точной реализацией (конкретизацией) любого ПЗС или ПЗ, о частичном или полном соответствии которому оно заявляет.

Концепция и структура ПЗС основаны на расширении концепции и структуры профилей защиты по стандартам серии ИСО/МЭК 15408. Краткое изложение различий между ПЗ и ПЗС приведено в таблице А.2.

Таблица А.2 - Краткое изложение различий между ПЗ и ПЗС

	ПЗ продукта	ПЗ системы
Схема детализации	Средоточенность на одном "блоке"	Усиление внимания большим и более сложным группировкам продуктов, составляющим автоматизированную систему с физически разбросанным назначением и интегрированными мерами обеспечения безопасности
Средоточие	Более узкое и специфическое для ИТ	Более широкое, гибкое; включает в себя аспекты мер обеспечения безопасности системы - гибкое с учетом меняющихся обстоятельств деловой деятельности
Организационные меры безопасности	Минимальное рассмотрение внешней стороны оценки риска предполагает участие среды	Рассматривает как полноправного партнера с техническими мерами обеспечения безопасности, содействующего безопасности системы для соответствия организационным потребностям
Оценка риска	Рассматривает процедуры, не связанные с ИТ, как предположения, связанные с соответствием продукта	Идентифицирует риски как "известные", и может потребоваться оценка организационных мер безопасности в отношении их адекватности в среде интегрированной системы
Описание ОО	Узкий и сосредоточенный на ИТ	Более широкое объединение внутренних интерфейсов, а также интерфейсов с "внешними/дистанционными" системами, подсистемами и компонентами

А.2.2 Содержание профиля защиты системы

ПЗС должен соответствовать требованиям к содержанию, изложенным в настоящем приложении. ПЗС должен быть представлен в виде ориентированного на пользователя документа, минимизирующего ссылки на другой материал, который может быть труднодоступен для пользователя ПЗС. Обоснование ПЗС может предоставляться по необходимости отдельно.

ПЗС должен включать в себя:

а) общую часть, применимую ко всему СОО;

b) части домена, одну часть для каждого домена безопасности, определенного в СОО, описывающую уникальные аспекты этого домена.

Общая часть должна содержать:

a) введение ПЗС;

b) утверждения соответствия;

c) определение проблем безопасности;

d) цели безопасности;

e) определение расширенных компонентов;

f) требования безопасности.

Для каждого домена безопасности, образующего часть автоматизированной системы, соответствующей ПЗС, необходимо включить:

a) введение домена безопасности;

b) утверждения соответствия домена безопасности;

c) определение проблем безопасности домена безопасности;

d) цели безопасности домена безопасности;

e) требования безопасности домена безопасности.

При отсутствии релевантной информации некоторые разделы ПЗС могут быть не заполнены. Определенные подразделы информации о доменах безопасности являются произвольными. Их надо обозначать только при наличии у доменов безопасности проблем, целей или требований безопасности, которые не относятся к СОО в целом.

Спецификации, представленные в настоящем подразделе, частично заимствованы из спецификаций ПЗ, содержащихся в приложении В к ИСО/МЭК 15408-1, и, частично, из дополнительных требований ПЗС, определенных в настоящем стандарте.

А.2.3 Введение профиля защиты системы

Введение ПЗС должно идентифицировать ПЗС и обеспечивать обзор СОО и организации доменов. Введение ПЗС должно содержать управление документированием и обзорную информацию с учетом того, что:

а) идентификация ПЗС должна предоставлять собой маркировочную и описательную информацию, необходимую для управления и идентификации ПЗС;

b) краткий обзор СОО должен резюмировать СОО, представленный ПЗС в повествовательной форме. Обзор должен быть достаточно подробным, чтобы пользователь ПЗС мог определить его полезность для себя. Краткий обзор должен также быть пригоден для применения в качестве отдельной аннотации в каталогах и указателях по ПЗС;

с) в детализации организации доменов должно быть описано разделение СОО на домены с уникальными требованиями безопасности.

Не существует установленного содержания или схемы краткого обзора об СОО, но в обзоре должны отражаться назначение или задача автоматизированной системы, обзор системы в контексте среды ее эксплуатации и описание системы с точки зрения бизнеса (деловой деятельности), руководства и технической архитектуры. Необходимо определить взаимосвязь между СОО и внешними автоматизированными системами, а также интерфейсы между СОО и этими системами.

Автоматизированная система состоит из одного или нескольких доменов безопасности. Каждый домен безопасности включает в себя несколько компонентов и к нему могут предъявляться собственные требования доверия к безопасности. Спецификация структуры доменов должна подробно документировать структуру доменов безопасности, границы доменов и их интерфейсы.

В лучшем случае СОО будет состоять из компонентов, полностью определяющих автоматизированную систему как закрытый объект, в силу чего отсутствуют какие-либо интерфейсы с внешними автоматизированными системами, не включенные в оценку. С практической точки зрения данный наилучший случай иногда невозможен, и необходимо определить четкое разделение частей автоматизированной системы, которые подвергнутся оценке в качестве интегрированной единицы, и частей, не входящих в область действия оценки. Компоненты, не входящие в область действия оценки, рассматриваются как часть внешних автоматизированных систем.

Концепция автоматизированной системы основана на интерфейсах между ее компонентами. Без интерфейсов автоматизированной системы не существует. Следовательно, интерфейсы критически важны для определения автоматизированной системы и равно важны для способности автоматизированной системы осуществлять политику безопасности через ее интерфейсы. Спецификация структур доменов обеспечивает обзор различных компонентов автоматизированной системы, включая способ их соединения. Детали интерфейсов оставлены в спецификациях интерфейсов для проектирования и интеграции. Однако спецификация структур доменов должны определять характеристики безопасности отдельных доменов, которые задаются другим доменам, а также услуги по обеспечению безопасности, предлагаемые отдельными доменами, недоступные другим доменам.

А.2.4 Утверждения о соответствии

Настоящий подраздел применим только в случае утверждения соответствия ЗБС одному или нескольким ПЗС, ПЗ или пакетам требований безопасности. Настоящий подраздел также представляет свидетельство того, что ЗБС является приемлемой реализацией любого ПЗС, ПЗ или пакета требований, соответствие которым утверждается. Обоснование утверждений соответствия должно демонстрировать согласованность между целями требованиями безопасности ЗБС и целями и требованиями ПЗС, ПЗ или пакетов требований, соответствие которым утверждается.

Основное внимание утверждения соответствия уделяется "эквивалентности" с точки зрения соответствия основному набору критериев, изложенному в ПЗС, ПЗ или пакетах требований. ЗБС может быть функциональным надмножеством пакета или профиля, но оно не должно быть подмножеством.

Основным различием между утверждениями соответствия автоматизированной системы и продукта заключается в том, что для автоматизированной системы можно перераспределять выполняемые функции между частями технических и организационных мер безопасности системы, поскольку они все считаются частью СОО. При оценке продукта распределение выполняемых функций ИТ в среду, не связанную с ИТ, изменяет всю концепцию продукта и аннулирует цель деятельности по оценке продукта.

А.2.5 Определение проблемы безопасности

А.2.5.1 Краткий обзор

Подраздел "Определение проблем безопасности" в ЗБС должен предоставлять когерентное, последовательное и достаточно полное определения проблем безопасности, которые, как предполагается, могут стоять перед автоматизированными системами, соответствующими требованиям ПЗС. Проблемы безопасности сформулированы в рисках, которым противодействует автоматизированная система, и политиках безопасности организации, поддерживающих использование автоматизированной системы и управляющих ею, соответствующих требованиям ПЗС, для снижения риска этой системы до приемлемого уровня.

Определение проблемы безопасности должно определять:

a) риски, применимые к СОО;

b) политики безопасности организации, применимые к СОО.

В настоящем пункте должны идентифицироваться проблемы безопасности, которые относятся к автоматизированным системам, соответствующим требованиям ПЗС в целом. Может быть, что различные домены безопасности автоматизированных систем, соответствующих ПЗС, функционируют в разных средах, и в результате могут появиться различные или уникальные политики или риски, которые должны учитываться независимо различными доменами безопасности автоматизированной системы. Для каждого домена безопасности должны быть определены дополнительные проблемы безопасности, присущие только этому домену.

Если оценка риска фактической автоматизированной системы указывает на наличие рисков, не идентифицированных в ПЗС, необходимо изменить границы системы для устранения этих рисков или ввести дополнительные риски в пункт "идентификация риска" ЗБС.

Зная, что настоящему подразделу предшествует "введение СОО", важно, чтобы любой материал, представленный в настоящем пункте ПЗС, соответствовал информации, имеющейся в подразделе "введение СОО".

А.2.5.2 Идентификация рисков

В настоящем пункте все риски, применимые к СОО, должны описываться на основе оценки риска автоматизированной системы или типов автоматизированной системы, охватываемых ПЗС. Каждый риск должен категоризироваться как "приемлемый" или "неприемлемый", т.е. требующий снижения или устранения посредством технических или организационных мер в пределах СОО. Принятые риски тем не менее должны идентифицироваться, поскольку приемлемость рисков может со временем измениться.

Перечень рисков должен включать в себя риски, связанные с разработкой автоматизированной системы. Описание каждого риска должно быть достаточно подробным, чтобы идентифицировать активы или типы актива, которые могут быть повреждены или скомпрометированы, угрозы и уязвимости, относящиеся к каждому активу или типу актива, и воздействие успешной атаки. Угрозы должны характеризоваться, исходя из источников этих угроз и их потенциально негативного воздействия на активы. При оценке рисков должны идентифицироваться все возможные риски для автоматизированных систем, соответствующих требованиям ПЗС.

Примечание - Источники угроз могут включать в себя природные явления, такие как катастрофы, а также человека и созданные им специальные компьютерные программы.

Со временем могут идентифицироваться дополнительные риски или изменяться последствия нарушения безопасности. В течение жизненного цикла системы оценка риска должна повторяться, ПЗС обновляться и, если это необходимо, автоматизированная система - оцениваться повторно.

В настоящем подразделе должны идентифицироваться и категорироваться риски, связанные с эксплуатацией систем, удовлетворяющих в целом требованиям ПЗС, например, риски, связанные с работниками или бизнес-активами. Некоторые риски, например, риски, связанные с обработкой приложений, могут относиться только к определенному домену безопасности и, следовательно, идентифицироваться и анализироваться только для этого домена.

А.2.5.3 Политики безопасности организации (ПБОр)

В автоматизированных системах область применения ПБОр расширена для включения в нее проблем управления процессами жизненного цикла и эксплуатации, которые не рассматриваются во время оценки по стандартам серии ИСО/МЭК 15408. Политики управления процессами жизненного цикла и эксплуатации включают в себя:

a) основные законы и директивы;

b) непрерывность деловой деятельности;

c) соглашения по применениям внутри организации (т.е. внутрислужебное соглашение или меморандум о взаимопонимании).

А.2.6 Цели безопасности

Цели безопасности, содержащиеся в подразделе "цели безопасности" ПЗС, должны обеспечивать когерентное, последовательное и достаточно полное высокоуровневое описание решения безопасности, основанного на определении неприемлемых рисков и политик безопасности организации в разделе определения проблем безопасности. Высокоуровневое описание осуществляется, исходя из функциональных целей безопасности, которые впоследствии распределяются между техническими и организационными мерами безопасности автоматизированных систем, удовлетворяющих требованиям ПЗС, или других автоматизированных систем, сопряженных с данной системой. Обоснование должно демонстрировать, что установленные цели безопасности прослеживаются до всех аспектов, указанных в определении проблем безопасности ЗБС и пригодных для их обеспечения. Обоснование должно обеспечивать полную прослеживаемость между заявленными целями безопасности и всеми аспектами формулировки проблемы безопасности и иметь достаточно информации для определения эффективности противодействия целей безопасности установленным неприемлемым рискам и осуществления установленных политик безопасности организации.

Существует другой тип цели безопасности, управляющий проверочными действиями по созданию и анализу свидетельства и наблюдению и испытанию реализации на соответствие требованиям. Обоснование этому типу цели безопасности обычно не приводится при оценке по стандартам серии ИСО/МЭК 15408 (т.е. конкретные цели безопасности не сопоставляются с конкретными требованиями доверия). В результате имеется мало информации, если таковая вообще имеется, в документах ПЗ/ЗБ продукта, обосновывающего выбранные меры доверия. Однако для автоматизированной системы необходима четкая формулировка целей доверия, выведенная из аспектов доверия проблемы безопасности для обоснования мер доверия, применимых к автоматизированной системе в целом. Эти меры доверия можно применить к среде разработки СОО или среде эксплуатации.

Формулировка целей безопасности должна охватывать все требуемые меры обеспечения безопасности, включая обе меры, существование которых предполагается, и меры, которые должны быть приняты как часть реализации автоматизированной системы.

Цели безопасности, выбранные для реализации одного аспекта проблемы безопасности, могут также обеспечивать решения или частичные решения в других областях. В частности, цели безопасности могут адресовать иски, принятые после оценки риска, т.е. категорированные как допустимые, приемлемые, передаваемые или иски, которых надо избегать. Подобные взаимосвязи должны быть идентифицированы и зарегистрированы, так их приемлемость рисков может со временем изменяться.

Цели безопасности предоставляют на самом высоком уровне формулировку стратегии и философии противодействия определенным рискам и для осуществления определенных политик безопасности организации. Для автоматизированных систем критически важной является точность целей безопасности. Точность требуется как в отношении того, как цели прослеживают и включают формулировки, принятые при определении проблем безопасности, так и как цели безопасности распределяют решение компонентам автоматизированной системы и изическим процессам.

В отношении установленных рисков и политик безопасности организации цели безопасности должны рассматриваться более подробно, чем в отношении продукта. Более подробное рассмотрение целей безопасности в отношении установленных рисков и политик безопасности организации объясняется воздействием, которое среда оказывает на оценку автоматизированной системы, и детальной осведомленностью о среде, которая должна быть зарегистрирована в целях безопасности.

Кроме того, цели безопасности автоматизированной системы должны обеспечить равновесие, достигается при менеджменте общего остаточного риска.

Возможно, чтобы разные домены безопасности автоматизированной системы оказывали поддержку и реализовывались в разных средах эксплуатации. Например, возможность мониторинга автоматизированной системой входящего сетевого трафика может конфигурироваться как "выключено", тогда как возможность мониторинга автоматизированной системой сетевого трафика, входящего во внутреннюю сеть, конфигурируется как "включено". В результате для различных доменов безопасности могут существовать различные или уникальные цели безопасности. Для определенных доменов безопасности могут существовать дополнительные цели доверия для выполнения уникальных требований к доверию, применимых только к этим областям.

А.2.7 Определение компонентов расширения

В некоторых случаях подходящие компоненты для описания требований безопасности отсутствуют в стандартах серии ИСО/МЭК 15408 или в настоящем стандарте. В таких случаях в настоящем подразделе ПЗС необходимо определить новые компоненты. Новые расширенные компоненты могут использоваться для определения дополнительных функциональных требований и требований доверия.

А.2.8 Требования безопасности

Настоящий подраздел должен предоставлять полный и последовательный набор требований безопасности для СОО. Он включает в себя как функциональные требования безопасности автоматизированной системы, так и требования к доверию безопасности автоматизированной системы. Это относится как к техническим, так и организационным мерам безопасности, которые должны предоставляться для выполнения целей безопасности автоматизированной системы. Эти требования должны обеспечить адекватную основу для разработки процессов, процедур, механизмов и услуг безопасности, которые можно конфигурировать для осуществления определенных политик и противодействия идентифицированным рискам. Обоснование требований безопасности должно продемонстрировать пригодность набора для выполнения всех целей безопасности ЗБС и их прослеживаемость достижения этих целей.

В некоторых случаях требования безопасности в ПЗС могут излагаться без обоснования, т.е. они не являются следствием целей безопасности, которые сами выведены из определений проблем безопасности. В этих случаях подразделы "цели безопасности" и "определение проблем безопасности" в ПЗС можно опустить.

В настоящем подразделе должны излагаться функции безопасности системы и меры доверия к безопасности системы, требуемые для автоматизированной системы, соответствующей требованиям ПЗС, исходя из завершенных компонентов безопасности.

Вполне возможно, что различные домены безопасности автоматизированных систем, соответствующих требованиям ПЗС, оказывают поддержку и реализуются в различных средах эксплуатации.

В результате могут существовать различные или уникальные функциональные требования для каждого домена безопасности, необходимые для выполнения уникальных целей безопасности этого домена. Аналогично требования доверия к безопасности нельзя применять ко всем компонентам автоматизированной системы в одинаковом объеме. Различным доменам безопасности, определенным в ПЗС, необходимо распределять соответствующие уровни и типы доверия.

А.2.9 Информация о доменах безопасности

Настоящий подраздел ПЗС должен предоставлять информацию, относящуюся к каждому домену безопасности, имеющему полномочия от ПЗС. Он должен обеспечивать точную и правильную идентификацию каждого домена безопасности и информацию по безопасности, являющуюся специфической для любого домена.

Если ПЗС не дает полномочия более чем одному домену безопасности, его не следует называть явно или идентифицировать, и этот подраздел следует опустить. Следует отметить, что соображения, связанные с архитектурой, могут означать, что ЗБС, основанное на ПЗС, вводит дополнительные домены безопасности с целью осуществления рентабельного решения проблем безопасности.

Информация о каждом домене безопасности должна содержать следующую информацию:

a) введение домена безопасности должно предоставлять маркировочную и описательную информацию для управления и идентификации домена безопасности и СОО, к которому он относится, и резюмировать область в форме отчета (повествовательной форме). Общее положение должно быть достаточно подробным для понимания бизнес-функций домена безопасности и его требований безопасности;

b) утверждения соответствия домена безопасности должны определять любые утверждения соответствия, уникальные для этого домена. Если у домена безопасности подобные утверждения отсутствуют, этот подраздел можно опустить;

c) определение проблем безопасности домена безопасности должно определять любые проблемы безопасности, уникальные для этого домена, а также включать в себя политики и риски, уникальные для домена. Если у домена безопасности отсутствуют уникальные проблемы безопасности, этот подраздел можно опустить;

d) цели безопасности домена безопасности должны определять любые цели безопасности, уникальные для этого домена, а также любые цели безопасности, которые доступны другим доменам или которые реализуются другими доменами. Если у домена безопасности отсутствуют уникальные цели безопасности, этот подраздел можно опустить;

e) требования безопасности домена безопасности должны определять любые требования безопасности, уникальные для этого домена. Если у домена безопасности отсутствуют уникальные требования безопасности, этот подраздел можно опустить.