Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 691-ст)
- Приложение С (справочное). Формирование методов обеспечения доверия
Приложение С (справочное). Формирование методов обеспечения доверия
Приложение С
(справочное)
Формирование методов обеспечения доверия
Содержание настоящего приложения было сформировано из общедоступного материала.
Производители аппаратных средств и программного обеспечения должны обеспечивать свою продукцию функциями обеспечения безопасности, соответствующими заданной цели и предполагаемой эксплуатационной среде. С учетом систематического подхода для этого следует применять установленный метод обеспечения доверия, такой как в ИСО/МЭК 15408 и ИСО/МЭК 19790.
Со стороны пользователей должны предприниматься шаги по обеспечению внедрения сопутствующих мер, необходимых для безопасного функционирования всего решения, что подразумевает эффективное управление безопасностью ИТ, а также организационные и технические меры обеспечения безопасности и меры обеспечения безопасности персонала. В этих целях должны применяться такие методы, как представленные в ИСО/МЭК 13335, ИСО/МЭК 27002 и Руководстве по базовой защите ИТ.
Профили защиты из ИСО/МЭК 15408 могут служить мостом между производителями и пользователями. Профили защиты могут помочь пользователям сформулировать точные требования к характеристикам и функциям безопасности продукции. Со своей стороны производители могут конкретизировать, какие профили защиты соответствуют конкретному продукту, и сопровождать такие заявления сертификатом.
Часто используют комбинацию, представленную в настоящем приложении.
С.1 ИСО/МЭК 15408 + Руководство по базовой защите ИТ
Стандарт серии ИСО/МЭК 15408 и Руководство по базовой защите ИТ могут использоваться в комбинации. Применение стандартных мер безопасности, указанных в руководстве по базовой защите ИТ, приводит к защите всей системы, охватывая как управление безопасностью ИТ, так и технические меры безопасности на уровне компонентов. Однако обычно во время оценки требований защиты или сравнительного анализа безопасности становится очевидно, что в подразделениях учреждения, которые невозможно защитить с помощью одного лишь руководства по базовой защите ИТ, имеются специфические потребности или требования. В этом случае для формулирования требований безопасности и выбора подходящей по возможности должным образом сертифицированной продукции могут применяться профили защиты, обеспечивающие необходимые функции обеспечения безопасности. Таким образом, соответствующего уровня безопасности ИТ можно достичь посредством комбинированного использования руководства по базовой защите ИТ и ИСО/МЭК 15408.
С.2 ИСО/МЭК 27002 + Руководство по базовой защите ИТ
ИСО/МЭК 27002 связан с управлением информационной безопасностью и предлагает применение ориентированного на процесс доступа. Основным содержанием данного стандарта является каталог общих мер, полученных на основе передового опыта. Для защиты общего решения от прогнозируемой угрозы эти общие меры должны реализовываться при помощи специальных и технических инструкций по действиям по их реализации и мер по обеспечению безопасности. В данном случае руководство по базовой защите ИТ может оказать существенное содействие. Руководство содержит каталоги с подробными рекомендациями, построенными на информации по областям "Организация", "Персонал", "Инфраструктура" и "Технология". Следовательно, комбинация руководства по базовой защите ИТ и ИСО/МЭК 27002 может обеспечить подход, который четко отделяет контроль безопасности ИТ от практического внедрения. По этому сценарию в случае с подобластями со специфическими требованиями безопасности можно обратиться к ИСО/МЭК 15408 и/или профилям защиты.
С.3 ИСО/МЭК 27001 и ИСО/МЭК 27002
ИСО/МЭК 27001 специфицирует требования к системам менеджмента информационной безопасности. Существуют стандарты на сертификацию, основанные на Руководстве 62 ИСО и ИСО/МЭК 17021. Данный подход можно применить к совершенно разным предприятиям и организациям, что позволяет интегрировать деятельность по менеджменту информационной безопасности в системы менеджмента, основанные на других стандартах ИСО.
На всех этапах жизненного цикла определены подлежащие оценке требования по менеджменту информационной безопасности. Документированные процессы могут быть оценены в контексте целей организации. Для определения правильности следования процессам и достижения нужных результатов можно оценивать ассоциативные записи. В случае возникновения обстоятельств, когда система менеджмента не может достичь требуемых результатов, требования к системам менеджмента включают в себя требования к корректирующим и превентивным мерам. Соблюдение ИСО/МЭК 27001 требует от руководства проявления ответственного отношения к менеджменту информационной безопасности, играя в нем главную роль и обеспечивая адекватные ресурсы и подготовку персонала.
ИСО/МЭК 27001 требует использования мер управления по ИСО/МЭК 27002 как основы для обработки неприемлемого риска.
С.4 ИСО/МЭК 27002 + ИСО 9000
В ИСО 9000 определены требования к системам менеджмента качества и дано определение соответствующего метода испытаний. Метод может применяться на совершенно разных предприятиях и в разных организациях; однако конкретные соображения об информационной безопасности отсутствуют. Специфицирован только тест на соответствие среды ИТ организации требованиям заказчика и бизнес-целям. Для увеличения области информационной безопасности ИСО/МЭК 27002 может использоваться как приложение, конкретно связанное с управлением информационной безопасностью.
В частности, ИСО/МЭК 27002 также содержит меры, охватывающие процессы разработки так, чтобы два стандарта дополняли друг друга. Требования необходимо обосновать и выполнить, так как выполнение требований и ИСО 9000, и ИСО/МЭК 27002 предписаны на уровне руководства.
С.5 COBIT + базовая защита ИТ
В то время как базовая защита ИТ ориентирована на технические системы, COBIT сосредоточен на главных целях контроля. Поскольку внутренняя организация предприятия структурирована, в основном, с ориентацией на выполнение заданий, а не на технологии, с помощью COBIT часто легче определять действия и распределять обязанности отдельным организационным единицам. С другой стороны, COBIT предъявляет требования только к необходимым механизмам безопасности ИТ без конкретизации каких-либо специфических технических мер. Комбинирование двух методов может привести к получению эффективного подхода к формированию конкретных для предприятия концепций обеспечения безопасности ИТ. Для этой цели с помощью COBIT выбирают бизнес-процессы и определяют их требования безопасности. Формируется технологический профиль (технологии) (распределение систем ИТ по бизнес-процессам), следуя которому метод базовой защиты ИТ становится приемлемым путем получения специфических мер по выполнению релевантных требований безопасности.
Изложенные выше сценарии следует рассматривать просто как примеры способов успешного комбинирования наборов критериев безопасности. В особых случаях допускается применение других подходов. Например, применение COBIT рекомендуется, если проведение аудита является основной целью, а применение ИСО/МЭК 19790 - если предметом интереса являются криптографические процедуры.