Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 691-ст)
- Приложение А (справочное). Сравнения данных таблицы
Приложение А (справочное). Сравнения данных таблицы
Приложение А
(справочное)
Сравнения данных таблицы
Содержание настоящего приложения было сформировано из общедоступного материала.
А.1 Методы и целевые группы пользователей
Для идентификации альтернатив сформирована сводная таблица. Она характеризует различные методы обеспечения доверия в отношении того:
- ориентированы ли они на организационные или технические аспекты;
- ориентировано ли их использование на продукты или общие системы;
- предназначены ли они для поставщика или пользователя?
Таблица А.1 - Методы и целевые группы пользователей
|
Ключ: Р: основная целевая группа; S: вторичная целевая группа; X: любая организация |
ИСО/МЭК 15408 |
ИСО/МЭК 19790 |
ИСО/МЭК 21827 |
ИСО/МЭК 13335 |
ИСО/МЭК 27001, ИСО/МЭК 27002 |
Руководство по защите основы ИТ |
СОВIТ |
ИСО 9000 |
|
|
Тип предприятия |
Поставщик аппаратных средств |
S |
P |
P |
S |
|
S |
|
X |
|
Поставщик программного обеспечения |
Р |
P |
P |
S |
S |
S |
|
X |
|
|
Оператор сервера |
|
S |
P |
S |
S |
|
S |
X |
|
|
Сетевой провайдер |
|
S |
P |
S |
Р |
P |
S |
X |
|
|
Поставщик онлайновой информации |
|
|
P |
S |
Р |
P |
|
X |
|
|
Предприятие в качестве пользователя |
|
S |
S |
Р |
Р |
P |
P |
X |
|
|
Роль в рамках предприятия |
Управление |
|
|
|
Р |
Р |
S |
P |
P |
|
Управление проектом |
Р |
P |
Р |
Р |
Р |
P |
P |
P |
|
|
Ответственный за безопасность ИТ |
Р |
P |
Р |
Р |
Р |
P |
S |
S |
|
|
Управление ИТ |
S |
S |
Р |
Р |
Р |
P |
P |
S |
|
|
Администратор |
|
S |
|
|
S |
P |
S |
S |
|
|
Аудитор |
|
|
|
S |
S |
S |
P |
S |
|
Основные схемы сертификации
Некоторые методы обеспечения доверия имеют ассоциированные схемы сертификации для оценки результата доверия (см. таблицу А.2).
Таблица А.2 - Основные схемы сертификации
|
Подход к обеспечению доверия |
Критерий оценки |
Методология оценки |
Аттестация персонала и/или оборудования |
Схема оценки |
|
Продукт |
ИСО/МЭК 15408 |
ИСО/МЭК 18045 |
Аттестация? |
Национальные органы по сертификации с международным взаимным признанием |
|
Процесс |
ИСО/МЭК 21827 |
SSAM |
SSO |
Национальные/международные органы по сертификации, например, ISSEA |
|
Среда (эксплуатация ИТ) |
ИСО/МЭК 27001 |
|
ИСО/МЭК 27006 |
|
|
Среда (организация) |
ИСО 9000 |
|
Национальные/международные органы по сертификации |
Национальные/международные органы по сертификации |
А.2 Существующие методы обеспечения доверия
Методы, представленные в приложении В, и выводы в отношении проблем пользователя, приведенные в 5.1.4, представлены в таблице А.3.
Таблица А.3 - Существующие методы обеспечения доверия
|
|
Доверие к разработке |
Доверие к интеграции |
Доверие к эксплуатации |
|
Доверие к продукту |
По ИСО/МЭК 15408, По ИСО/МЭК 19790 |
|
|
|
Доверие к процессу |
По ИСО/МЭК 21827 |
По ИСО/МЭК 21827 |
По ИСО/МЭК 27001, COBIT, Основа ИТ |
|
Доверие к среде |
По ИСО/МЭК 27001, ИСО 9000 |
По ИСО/МЭК 27001, ИСО 9000 |
По ИСО/МЭК 27001, ИСО 9000 |