Приложение Е (справочное). Определение цели обеспечения доверия. Национальный стандарт РФ ГОСТ Р 54583-2011/ISO/IEC/TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 01.12.2011 N 691-ст)

Приложение Е
(справочное)

Определение цели обеспечения доверия

Е.1 Оценка риска

В идеале цель обеспечения доверия является результатом оценки и обработки риска. Остаточный риск является риском, остающимся после его обработки. Остаточный риск должен быть приемлемым и быть принятым заинтересованными сторонами. Если он неприемлем, то следует его обработка, например, запрашивают дополнительные меры безопасности.

Примечание - Остаточный риск может использоваться как показатель значимости, обеспечиваемой доверием.

Е.2 Менеджмент рисков

При внедрении любой меры безопасности и ее шкалы руководствуются менеджментом риска. Менеджмент риска является процессом идентификации, управления и устранения или минимизации последствий неблагоприятных событий, способных воздействовать на активы, имеющие приемлемую себестоимость.

Примечание - Применяемая в настоящем документе терминология основана на Руководстве 73 ИСО/МЭК. Возможно применение ИСО/МЭК 27005.

Возможными видами обработки рисков являются:

- избежание риска;

- снижение риска;

- смягчение риска;

- перенос риска.

Остающийся после обработки риск является остаточным. Хорошей практикой является эксплуатация продукта только при приемлемом и принятом остаточном риске. Предназначенная для внедрения политика безопасности системы соответствует этапу "смягчение" обработки риска и является результатом оценки риска.

Сам менеджмент риска и полученная в результате политика безопасности системы могут пройти процесс обеспечения доверия.

Е.3 Модель безопасности

В отношении приведенного ниже рисунка Д.1 можно сформулировать следующие положения:

- модель безопасности является схематическим описанием группы объектов и взаимосвязей, посредством которых заданный набор услуг по обеспечению безопасности предоставляется системой или в рамках системы;

- архитектура безопасности представлена планом и совокупностью принципов, которые считаются частью проектирования безопасности системы:

услуги по обеспечению безопасности, требуемые от системы для выполнения требований пользователей,

элементы системы, требуемые для выполнения услуг,

уровни производительности, необходимые в элементах системы для работы в условиях угроз;

- мера обеспечения безопасности является процессом (или устройством, осуществляющим подобный процесс), который может применяться для выполнения услуги по обеспечению безопасности, предоставляемой системой или в рамках системы, например механизмом предупреждения событий, мерой по обнаружению атак, мерой по восстановлению после события.

На основе результатов оценки риска меры по обработке риска могут быть определены в рамках процесса разработки концепции безопасности.

В рамках концепции безопасности дается определение мер безопасности, которые определялись в контексте оценки риска как необходимые.

Объектом доверия, связанным с моделью безопасности, может быть анализ или проверка доступности и связности модели безопасности.

Методы обеспечения доверия, основанные на оценке риска, предлагают поэтапный подход с возрастающей детализацией от политики до определения выполненных мер безопасности.

Е.4 Политика безопасности организации

Системы ИТ следуют определенной политике безопасности системы ИТ, которая может следовать политике безопасности организации. Политика безопасности организации в основном базируется на оценке риска с учетом целей организации (например, бизнес-целей). Она применима ко всем проблемам безопасности организации и обязательна для руководства всеми усилиями по обеспечению безопасности.

В этих случаях политика безопасности организации модифицируется и адаптируется в иерархическом виде для всех подразделений организации и систем.

Любая политика безопасности должна периодически инспектироваться для учета всех изменений угроз, рисков и активов.

Политика безопасности может включать в себя следующие темы для обсуждения:

- область применения политики безопасности;

- подотчетность руководства;

- подчеркивание важности безопасности;

- определение общих и конкретных ролей и обязанностей; распределение должностей;

- определение целей обеспечения безопасности;

- классификация информации;

- вопросы коммуникации, осведомленности, обучения и подготовки.

В крупных организациях для конкретного отдела, подразделения или филиала, а также при наличии разнообразных отдельных систем может потребоваться разработка более специфических политик безопасности. На уровне конкретной системы, услуги или продукта разработка принимает форму целевой политики безопасности ИТ, которая соответствует иерархии политик.

Возможная иерархия политик представлена на рисунке Е.2.

Для обеспечения зависимостей иерархии политик должны предприниматься соответствующие меры по обеспечению доверия. Дополнительным объектом обеспечения доверия может быть анализ или проверка доступности и согласованности политик безопасности.

Е.5 Применимая цель обеспечения доверия

Целью обеспечения любого доверия к безопасности является обеспечение уверенности в соответствии системы ИТ объекта руководящей политике на следующем более высоком уровне для гарантии соответствия объекта политике организации.

Таким образом, в данном случае доверие может быть производной оценки риска и/или политики безопасности организации.

Для многих операций с ИТ, в особенности ИТ средних или небольших организаций, определенная политика безопасности не предписывается. В этом случае можно использовать имеющуюся в наличии общую политику безопасности.

Данное положение также относится к случаю, когда пользователь внедряет стандартную систему безопасности, например, из справочников по базовой безопасности. Здесь доверие обеспечивается для общих потребностей среды, которые должны быть разъяснены в прилагаемых справочниках по базовой безопасности.

Другим подходом является применение имеющегося задания по безопасности или профиля защиты, который был подготовлен для данной целевой среды в соответствии с ИСО/МЭК 15408.

Примечание - Проведение оценки риска является процессом, который сам по себе может быть предметом обеспечения доверия к процессу. При данном подходе к обеспечению доверия оценивается применение процессов и их результатов, включая их обратную связь, которая обеспечивает выполнение процесса, получение результатов и их обработку заданным способом связанным с безопасностью персоналом.

Е.6 Меры безопасности

Меры безопасности, определения которым даны в процессе менеджмента рисков, добавляют к функциональным требованиям объекта с целью производства технической спецификации или спецификации по поставке.

В случаях применения обобщенной политики политика безопасности, модель и архитектура предопределены и не изменяются. Однако в большинстве случаев предлагается сделать выбор или предлагается каталог, из которого выбирают меры безопасности, наиболее подходящие для конкретной ситуации с угрозами.

В данном случае очень важно проверить описание имеющихся целей безопасности, если весь применимый риск смягчается. Требование не относится к случаю, когда активы обладают особой ценностью и/или подвергаются особым угрозам. В этом случае и при наличии каких-либо сомнений следует провести специальную оценку риска, которая приведет к применению специальных мер. Эта гибридная технология показана на рисунке Е.3.

Объектом доверия, связанным с определением мер безопасности, может быть анализ или проверка доступности или связности модели безопасности.

Примечание - В зависимости от методов обеспечения безопасности применяются меры, принимающие вид, например, мер защиты (см. ИСО/МЭК 13335), мер контроля (см. ИСО/МЭК 27002) или задания по безопасности (см. ИСО/МЭК 15408).

Е.7 Пример: ИСО/МЭК 15408

В ИСО/МЭК 15408 используется следующая терминология:

- объест оценки (ОО) - продукт или система ИТ и связанная с ними руководящая документация, подлежащие оценке;

- политика безопасности объекта оценки (ПБО) - совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО;

- задание по безопасности (ЗБ) - совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки продукта;

- функция безопасности (ФБ) - функциональные возможности части или частей продукта, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО;

- политика функции безопасности (ПФБ) - политика безопасности, осуществляемая ФБ.