Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 691-ст)
- Приложение D (справочное). Изучение конкретных случаев
Приложение D (справочное). Изучение конкретных случаев
Приложение D
(справочное)
Изучение конкретных случаев
D.1 Стратегия формирования комбинированного метода обеспечения доверия производителя микропроцессорных карточек
Производитель микропроцессорных карточек выбрал комбинацию ИСО/МЭК 15408 + ИСО/МЭК 19790 + + ИСО/МЭК 21827. Стратегия обеспечения доверия основывалась на прошлом опыте и снижении себестоимости в будущем.
Компания провела успешную расширенную оценку по оценочному уровню доверия (ОУД) 4 и расширенную оценку по ОУД 1. Это означает, что несколько групп имеют опыт работы с ИСО/МЭК 15408.
Дополнительно компания провела три успешные оценки уровня 3 по ИСО/МЭК 19790.
Компанию привлекла идея сертификации процессов, но, к сожалению, она не имела опыта работы с ИСО/МЭК 21827.
Причиной создания этой комбинации является потребность производителя в оптимальном сочетании видов доверия.
Обоснованием комбинации стал сравнительный анализ производительности. Выбор был сделан на основе следующих положений:
- ИСО/МЭК 19790 рассматривает:
соответствие функций безопасности продукта требованиям,
стойкость продукта;
- ИСО/МЭК 15408 рассматривает:
соответствие функций безопасности продукта требованиям,
стойкость продукта,
методологию и среду разработки;
- ИСО/МЭК 21827:
рассматривает процесс разработки безопасных услуг и продуктов,
очень хорошо согласуется с ИСО/МЭК 15408.
Общий подход заключается в использовании соответствующих процессов ИСО/МЭК 21827 для обеспечения разработки продуктов, а ИСО/МЭК 19790 или ИСО/МЭК 15408 - для их оценки. Преимуществом является то, что:
- документы, требуемые для ОУД4 по ИСО/МЭК 15408 или ИСО/МЭК 19790, могут быть в виде обычных выходных данных процессов, соответствующих всем техническим требованиям;
- для менее критичных продуктов доверие получается в соответствии с ИСО/МЭК 21827 без необходимости оплаты оценки готового продукта и задержки на эту оценку. Как сертифицированный процесс, так и ссылка на оцененные продукты дают уверенность, достаточную для заказчиков;
- для критичных продуктов и в зависимости от финансовых требований и требований заказчика проводят оценку и сертификацию по ОУД 4 ИСО/МЭК 15408 и ИСО/МЭК 19790 соответственно.
D.2 Провайдер услуг обеспечивает модернизацию бизнес-процессов
Предоставляющей услуги компании потребовалось модернизировать свои бизнес-процессы для:
- поставки товаров и услуг в режиме "он-лайн" в дополнение к использованию традиционных каналов;
- снижения расходов, связанных с торговыми операциями по цепочке поставок;
- предоставления персоналу возможности работать дистанционно.
Информационная безопасность и конфиденциальность были признаны критичными для успешного изменения бизнес-процессов и систем ИТ. Специальные требования были сформулированы на основе отчетов внутреннего и внешнего аудитов и обратной связи от заказчиков, партнеров по бизнесу и поставщиков.
Компания выбрала ИСО/МЭК 27001 и ИСО/МЭК 27002 из-за международного признания передового опыта их применения и пригодности для всех видов управления информационной безопасностью.
Было признано, что программа управления информационной безопасностью должна охватывать всю информацию независимо от ее носителей и технологию, используемую для ее обработки. Методы и средства менеджмента рисков и документация основывались на требованиях ИСО/МЭК 27001. В ИСО/МЭК 27002 были внесены изменения по инициативе пользователей с дополнительными подробностями, относящимися к требованиям контроля безопасности, отвечающим специфическим потребностям компании.
Внедрение было предпринято в виде проекта с использованием обычных внутренних процедур управления проектом, когда внедрение обусловливалось профилем риска каждой задействованной области. Для внедрения выбранного подхода потребовалось много усилий, открытого и честного информирования заинтересованных сторон и получения необходимой поддержки. Поддержка, полученная при этих начальных усилиях, в результате значительно облегчила процесс внедрения.
Проведя после внедрения анализ, компания пришла к выводу, что критичными факторами успеха были:
- поддержка руководства на раннем этапе;
- использование методов менеджмента рисков для обоснования выбора подхода и назначения приоритетов видам деятельности;
- вовлечение возможно большего числа людей в процессы планирования и внедрения;
- информирование работников о происходящем и его причинах в процессе внедрения;
- признание необходимости непрерывности управления информационной безопасностью.
Полученными уроками стали:
- сосредоточение усилий на наиболее раннем обслуживании системы менеджмента информационной безопасности;
- стремление к максимальному упрощению процессов (было обнаружено, что некоторые процессы вначале были слишком усложнены);
- обеспечение концентрации документирования систем управления на вопросах управления, а не на технических вопросах.
В результате внедрения своей системы менеджмента информационной безопасности компания удовлетворена наличием обоснованной системы информационной безопасности, соответствующей ее потребностям. Компания также имеет возможность изложить свою программу обеспечения информационной безопасности заказчикам и другим внешним заинтересованным сторонам, применяющим критерии, признанные на международном уровне.