Главная » Просмотр файлов » ГОСТ Р ИСО МЭК 15408-1 2007

ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 10

Файл №1027762 ГОСТ Р ИСО МЭК 15408-1 2007 (Статьи, стандарты, спецификации) 10 страницаГОСТ Р ИСО МЭК 15408-1 2007 (1027762) страница 102017-12-21СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 10)

Требования вэтой части ПЗ могут быть взяты из ГОСТ Р ИСО/МЭК 15408-2 и ГОСТ Р ИСО/МЭК 15408-3 и, еслитак, то должна быть изменена их формулировка, чтобы четко показать, что среда ИТ, а не ОО,должна отвечать данному требованию. Подобное изменение формулировки является особым случаем уточнения и не является предметом требований оценки, связанных с модифицированнымикомпонентами ГОСТ Р ИСО/МЭК 15408. Если безопасность ОО не зависит от среды ИТ, то этачасть ЗБ может быть опущена.c) Перечисленные ниже общие условия в равной степени относятся к выражению функциональных требований и требований доверия как для ОО, так и для его среды ИТ.1) Когда это применимо, все требования безопасности ИТ следует вводить ссылкой накомпоненты требований безопасности из ГОСТ Р ИСО/МЭК 15408-2 или ГОСТ РИСО/МЭК 15408-3.

Если при формировании всех либо части требований не применимы компоненты из ГОСТ Р ИСО/МЭК 15408-2 или ГОСТ Р ИСО/МЭК 15408-3, то в ПЗдопускается сформулировать необходимые требования безопасности явным образом,без ссылки на содержание ГОСТ Р ИСО/МЭК 15408.34ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2) Любые функциональные требования и требования доверия к ОО, сформулированныеявным образом, должны быть четко и однозначно выражены, чтобы были возможныоценка и демонстрация соответствия им. Уровень детализации и способ выраженияфункциональных требований и требований доверия, принятый в ГОСТ Р ИСО/МЭК15408, должен использоваться как образец.3) Если выбраны компоненты требований, в которых специфицированы требуемые операции (назначение, выбор), то эти операции должны использоваться в ПЗ для конкретизации требований до уровня детализации, необходимого для демонстрации достижения целей безопасности.

Все разрешенные операции, которые не исполнены в ПЗ,должны быть отмечены как незавершенные.4) При изложении требований безопасности ОО допускается дополнительно разрешатьили запрещать, при необходимости, использование определенных механизмов безопасности, применяя разрешенные операции над компонентами требований.5) Следует удовлетворить все зависимости между требованиями безопасности ИТ. Зависимости могут быть удовлетворены включением необходимых требований в составтребований безопасности ОО или требований к среде.А.2.7 Замечания по применениюЭта часть ПЗ не является обязательной и может содержать дополнительную информацию,которая считается уместной или полезной для создания, оценки и использования ОО.А.2.8 ОбоснованиеВ этой части ПЗ представляется свидетельство, используемое при оценке ПЗ. Это свидетельство поддерживает утверждения, что ПЗ является полной и взаимосвязанной совокупностьютребований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности.

Обоснование должно включать следующее.a) Обоснование целей безопасности, демонстрирующее, что изложенные цели безопасности сопоставлены со всеми идентифицированными аспектами среды безопасности ОО и пригодныдля их охвата.b) Обоснование требований безопасности, демонстрирующее, что совокупность требований безопасности (ОО и его среды) пригодна для достижения целей безопасности и сопоставима сними. Должно быть продемонстрировано следующее:1) сочетание отдельных компонентов функциональных требований и требований доверия для ОО и его среды ИТ в совокупности отвечает изложенным целям безопасности;2) данный набор требований безопасности образует единое и внутренне непротиворечивое целое;3) выбор требований безопасности логически обоснован. Каждое из перечисленных нижеусловий должно быть логически обосновано:- выбор требований, не содержащихся в ГОСТ Р ИСО/МЭК 15408-2 или ГОСТ РИСО/МЭК 15408-3,- выбор требований доверия, не включенных в какой-либо ОУД,- случаи неудовлетворения зависимостей;4) выбранный для ПЗ уровень стойкости функций и заявленная в явном виде стойкостьфункций согласуются с целями безопасности для ОО.Этот потенциально объемный материал разрешается распространять отдельно, посколькуон необходим или полезен не для всех пользователей ПЗ.35ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)Приложение В(обязательное)Спецификация заданий по безопасностиВ.1 Краткий обзорЗБ содержит требования безопасности ИТ для конкретного ОО и специфицирует функциибезопасности и меры доверия, предлагаемые объектом оценки для удовлетворения установленных требований.ЗБ для ОО является основой для соглашения между разработчиками, оценщиками и, где необходимо, потребителями по характеристикам безопасности ОО и области применения оценки.Круг лиц, заинтересованных в ЗБ, не ограничивается только ответственными за разработку ОО иего оценку, но может включать также ответственных за управление, маркетинг, продажу, инсталляцию, конфигурирование, функционирование и использование ОО.В ЗБ разрешено включать требования из одного или нескольких ПЗ или утверждать о соответствии им.

Влияние таких утверждений о соответствии ПЗ не учитывается при первоначальномопределении требуемого содержания ЗБ в подразделе В.2. Влияние утверждения о соответствииПЗ на содержание ЗБ рассматривается в В.2.8.Данное приложение содержит требования к ЗБ в описательной форме. В классе доверияASE, в разделе 9 ГОСТ Р ИСО/МЭК 15408-3, эти требования приведены в форме компонентов доверия, которые следует использовать при оценке ЗБ.В.2 Содержание задания по безопасностиВ.2.1 Содержание и представлениеЗБ должно соответствовать требованиям к содержанию, изложенным в данном приложении.ЗБ следует представлять в виде ориентированного на пользователя документа, с минимумомссылок на другие материалы, которые могут быть недоступны пользователю этого ЗБ.

Обоснование, при необходимости, может быть оформлено отдельно.Содержание ЗБ представлено на рисунке В.1, который рекомендуется использовать присоздании структурной схемы ЗБ.36ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)ЗАДАНИЕ ПОБЕЗОПАСНОСТИВведение ЗБИдентификация ЗБАннотация ЗБСоответствие ГОСТ Р ИСО/МЭК 15408Описание ООСредабезопасностиООПредположения безопасностиУгрозыЦелибезопасностиПолитика безопасности организацииЦели безопасности для ООЦели безопасности для средыТребованиябезопасностиИТТребованиябезопасностидля ООТребования безопасностидля среды ИТКраткаяспецификация ООФункциональные требованиябезопасности ООТребования доверияк безопасности ООФункции безопасности ООМеры доверияУтвержденияо соответствии ПЗСсылка на ПЗКонкретизация ПЗОбоснованиеДополнение ПЗОбоснование целей безопасностиОбоснование требований безопасностиОбоснование краткой спецификации ОООбоснование утверждений о соответствии ПЗРисунок В.1 – Содержание задания по безопасности37ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)В.2.2 Введение ЗБВведение ЗБ должно содержать информацию для управления документооборотом и обзорнуюинформацию:a) идентификация ЗБ должна обеспечить маркировку и описательную информацию, необходимые, чтобы контролировать и идентифицировать ЗБ и ОО, к которому оно относится;b) аннотация ЗБ должна дать общую характеристику ЗБ в описательной форме.

Она должна быть достаточно подробной, чтобы потенциальный потребитель ОО мог решить, представляетли ОО для него интерес. Аннотация должна быть также применима для размещения в виде самостоятельного реферата в перечнях оцененных продуктов;c) утверждение о соответствии ГОСТ Р ИСО/МЭК 15408 должно изложить каждое поддающееся оценке утверждение о соответствии ОО ГОСТ Р ИСО/МЭК 15408, как указано в подразделе 6.4.В.2.3 Описание ООЭта часть ЗБ должна содержать описание ОО, служащее цели лучшего понимания его требований безопасности и дающее представление о типе продукта или системы.

Область и ограниченияприменения ОО должны быть описаны в общих терминах как в отношении физической (аппаратныеи/или программные компоненты/модули), так и логической его организации (характерные возможностиИТ и безопасности, предлагаемые объектом оценки).Описание ОО предоставляет контекст для оценки. Информация, содержащаяся в описанииОО, будет использована в процессе оценки для выявления противоречий. Если ОО представляетсобой продукт или систему, основной функцией которых является безопасность, то эту часть ЗБразрешается использовать для более подробного описания контекста возможного применения ОО.В.2.4 Среда безопасности ООИзложение среды безопасности ОО должно содержать описание аспектов безопасностисреды, в которой предполагается использовать ОО, и ожидаемый способ его применения. Это изложение должно включать следующее.a) Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использоваться или предполагается к использованию.

Оно должно также содержать:–информацию относительно предполагаемого использования ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения на использование;–информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей.b) Описание угроз, содержащее все те угрозы активам, против которых требуется защитасредствами ОО или его среды. Заметим, что необходимо приводить не все угрозы, которые могутвстретиться в среде, а только те из них, которые влияют на безопасную эксплуатацию ОО.Угроза должна быть описана с использованием понятий идентифицированного нарушителя,нападения и актива, который подвергается нападению.

Нарушителя следует описывать через такие аспекты, как компетентность, доступные ресурсы и мотивация. Нападение следует описыватьчерез такие аспекты, как возможность, метод нападения и используемые уязвимости.Если цели безопасности ОО следуют только из политики безопасности организации и предположений, то описание угроз может быть опущено.c) Описание политики безопасности организации, идентифицирующее и, при необходимости, объясняющее все положения политики безопасности организации или правила, которымдолжен подчиняться объект оценки. Для представления любого положения политики, позволяющего использовать его для установления четких целей безопасности, могут понадобиться объяснения и интерпретации.Если цели безопасности следуют только из угроз и предположений безопасности, описаниеполитики безопасности организации может быть опущено.38ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)Для физически распределенного ОО может быть необходимо рассмотреть аспекты средыбезопасности (предположения, угрозы, политику безопасности организации) отдельно для каждойиз различных областей среды ОО.В.2.5 Цели безопасностиИзложение целей безопасности должно определять цели безопасности как для ОО, так идля его среды.

Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации. Угрозе может быть противопоставлена одна или более целей для ОО, одна или более целей для среды или их сочетание.

Характеристики

Тип файла
PDF-файл
Размер
895,77 Kb
Тип материала
Высшее учебное заведение

Список файлов учебной работы

Свежие статьи
Популярно сейчас
Почему делать на заказ в разы дороже, чем купить готовую учебную работу на СтудИзбе? Наши учебные работы продаются каждый год, тогда как большинство заказов выполняются с нуля. Найдите подходящий учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
7048
Авторов
на СтудИзбе
259
Средний доход
с одного платного файла
Обучение Подробнее