ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 5
Текст из файла (страница 5)
Аттестующий может потребовать оценку реализованных в ИТ контрмер,чтобы решить, обеспечивают ли эти контрмеры адекватную защиту и правильно ли они реализованы в системе ИТ. Допускаются различные форма и степень строгости оценки в зависимости отправил, которыми руководствуется аттестующий или которые вводятся им.5.2Подход ГОСТ Р ИСО/МЭК 15408Уверенность в безопасности ИТ может быть достигнута в результате действий, которые могут быть предприняты в процессе разработки, оценки и эксплуатации ОО.5.2.1РазработкаГОСТ Р ИСО/МЭК 15408 не предписывает конкретную методологию разработки или модельжизненного цикла.
На рисунке 4 представлены основополагающие предположения о соотношенияхмежду требованиями безопасности и собственно ОО. Этот рисунок используется для контекстаобсуждения и его не следует интерпретировать как демонстрацию преимущества одной методологии разработки (например, каскадной) перед другой (например, по прототипу).Существенно, чтобы требования безопасности, налагаемые на разработку ИТ, эффективносодействовали достижению целей безопасности, установленных потребителями. Если соответствующие требования не установлены до начала процесса разработки, то даже хорошо спроектированный конечный продукт может не отвечать целям предполагаемых потребителей.14ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)ТребованиябезопасностиУточнение в процессепроектирования и реализацииФункциональнаяспецификацияПроектверхнегоуровняАнализсоответствия исовместная проверкаИсходный код/схемыаппаратурыРеализацияРисунок 4 – Модель разработки ООЭтот процесс основан на уточнении требований безопасности, отображенных в краткой спецификации в составе задания по безопасности.
Каждый последующий уровень уточнения представляет декомпозицию проекта с его дополнительной детализацией. Наименее абстрактнымпредставлением является непосредственно реализация ОО.ГОСТ Р ИСО/МЭК 15408 не предписывает конкретную совокупность представлений проекта.В ГОСТ Р ИСО/МЭК 15408 требуется, чтобы имелось достаточное число представлений проекта сдостаточным уровнем детализации для демонстрации, если потребуется, что:a) каждый уровень уточнения полностью отображает более высокие уровни (то есть, всефункции, характеристики и режимы безопасности ОО, которые определены на более высокомуровне абстракции, должны быть наглядно представлены на более низком уровне);b) каждый уровень уточнения точно отображает более высокие уровни (то есть, не должнобыть функций, характеристик и режимов безопасности ОО, которые были бы определены на болеенизком уровне абстракции, но при этом не требовались на более высоком уровне).Критерии доверия из ГОСТ Р ИСО/МЭК 15408 идентифицируют следующие уровни абстракции проекта: функциональная спецификация, проект верхнего уровня, проект нижнего уровня иреализация.
В зависимости от выбранного уровня доверия может потребоваться, чтобы разработчики показали, насколько методология разработки отвечает требованиям доверия из ГОСТ РИСО/МЭК 15408.15ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)5.2.2Оценка ООКритерииоценкиТребованиябезопасности(ПЗ и ЗБ)Разработать ОООО исвидетельствадля оценкиМетодологияоценкиОценитьООРезультатыоценкиСистемаоценкиНачать эксплуатациюОООбратная связьРисунок 5 – Процесс оценки ООПроцесс оценки ОО, как показано на рисунке 5, может проводиться параллельно с разработкой или следом за ней. Основными исходными материалами для оценки ОО являются:a) совокупность свидетельств, характеризующих ОО, включая ЗБ в качестве основы оценкиОО;b) ОО, безопасность которого требуется оценить;c) критерии, методология и система оценки.Кроме того, в качестве исходных материалов для оценки возможно также использованиевспомогательных материалов (таких, как замечания по применению ГОСТ Р ИСО/МЭК 15408) испециальных знаний в области безопасности ИТ, которыми располагает оценщик и сообществоучастников оценок.Ожидаемым результатом оценки является подтверждение удовлетворения объектом оценкитребований безопасности, изложенных в его ЗБ, а также один или несколько отчетов, документирующих выводы оценщика относительно ОО, сделанные в соответствии с критериями оценки.
Такие отчеты, помимо разработчика, будут полезны также реальным и потенциальным потребителямпродукта или системы, представленным как объект оценки.Степень уверенности, получаемая в результате оценки, зависит от удовлетворенных приоценке требований доверия (например, от оценочного уровня доверия).Оценка может способствовать созданию более безопасных продуктов ИТ по двум направлениям.
Оценка предназначена для выявления ошибок или уязвимостей в ОО, устраняя которыеразработчик снижает вероятность нарушения безопасности ОО при его последующей эксплуата-16ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)ции. Кроме того, готовясь к строгой оценке, разработчик, возможно, более внимательно отнесетсяк проектированию и разработке ОО. Поэтому процесс оценки может оказывать значительное, хотяи косвенное, положительное влияние на начальные требования, процесс разработки, конечныйпродукт и условия его эксплуатации.5.2.3Эксплуатация ООПотребители могут выбрать оцененный продукт для использования в своих конкретных условиях. Не исключено, что при эксплуатации ОО могут проявиться не обнаруженные до этогоошибки или уязвимости, а также может возникнуть необходимость пересмотра предположений относительно среды функционирования.
Тогда по результатам эксплуатации потребуется внесениеразработчиком исправлений в ОО либо переопределение требований безопасности или предположений относительно среды эксплуатации. Такие изменения, в свою очередь, могут привести кнеобходимости проведения новой оценки ОО или повышения безопасности среды его эксплуатации. В некоторых случаях для восстановления доверия к ОО достаточно оценить только требующиеся обновления. Детальное описание процедур переоценки, включая использование результатов ранее проведенных оценок, выходит за рамки ГОСТ Р ИСО/МЭК 15408.5.3Понятия безопасностиКритерии оценки наиболее полезны в контексте процессов проектирования и правовой базы,поддерживающих безопасную разработку и оценку ОО.
Этот подраздел включен исключительно виллюстративных и рекомендательных целях и не предназначен для регламентации процессованализа, подходов к разработке или систем оценки, в рамках которых мог бы применяться ГОСТ РИСО/МЭК 15408.ГОСТ Р ИСО/МЭК 15408 применим, если при использовании ИТ придают значение способности элементов ИТ обеспечить сохранность активов.
Чтобы показать защищенность активов, вопросы безопасности необходимо рассмотреть на всех уровнях, начиная с самого абстрактного и доконечной реализации ИТ в среде их эксплуатации. Эти уровни представления, как описано в следующих подразделах, позволяют охарактеризовать и обсудить задачи и проблемы безопасности,однако сами по себе не демонстрируют, что конечная реализация ИТ действительно проявляеттребуемый режим безопасности и поэтому может считаться доверенной.В ГОСТ Р ИСО/МЭК 15408 требуется, чтобы определенные уровни представления содержали обоснование представления ОО на этом уровне. Это значит, что такой уровень должен содержать достаточно разумные и убедительные аргументы, свидетельствующие о согласованностиданного уровня с более высоким уровнем, а также о его полноте, корректности и внутренней непротиворечивости.
Изложение обоснования, демонстрирующее согласованность со смежным более высоким уровнем представления, приводится как довод корректности ОО. Обоснование, непосредственно демонстрирующее соответствие целям безопасности, поддерживает доводы об эффективности ОО в противостоянии угрозам и в осуществлении политики безопасности организации.В ГОСТ Р ИСО/МЭК 15408 используются различные формы представления, что показано нарисунке 6, который иллюстрирует возможный способ последовательного формирования требований безопасности и спецификаций при разработке ПЗ или ЗБ.
Все требования безопасности ОО, вконечном счете, следуют из рассмотрения предназначения и контекста ОО. Приведенная схема непредназначена для ограничения способов разработки ПЗ и ЗБ, а лишь иллюстрирует, каким образом результаты некоторых аналитических подходов связаны с содержанием ПЗ и ЗБ.17ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)Физическаясреда ООАктивы,нуждающиеся взащитеПредназначениеООМатериалы посредебезопасности(ПЗ/ЗБ)УстановитьсредубезопасностиПредположенияУгрозыПолитикабезопасностиорганизацииУстановитьцелибезопасностиКаталогтребований ОКМатериалы поцелямбезопасности(ПЗ/ЗБ)ЦелибезопасностиУстановитьтребованиябезопасностиФункциональныетребованияТребованиядоверияТребования ксредеМатериалы потребованиямбезопасности(ПЗ/ЗБ)УстановитькраткуюспецификациюООКраткаяспецификацияООМатериалы поспецификациямбезопасности(ЗБ)Рисунок 6 – Последовательное формирование требований и спецификаций18ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)5.3.1Среда безопасностиСреда безопасности включает все законы, политики безопасности организаций, опыт, специальные навыки и знания, для которых решено, что они имеют отношение к безопасности.
Такимобразом, она определяет контекст предполагаемого применения ОО. Среда безопасности включает также угрозы безопасности, присутствие которых в этой среде установлено или предполагается.При установлении среды безопасности автор ПЗ или ЗБ должен принять во внимание:a) физическую среду ОО в той ее части, которая определяет все аспекты эксплуатационнойсреды ОО, касающиеся его безопасности, включая известные мероприятия, относящиеся к физической защите и персоналу;b) активы, которые требуют защиты элементами ОО и к которым применяются требованияили политики безопасности; они могут включать активы, к которым это относится непосредственно, типа файлов и баз данных, а также активы, которые косвенно подчинены требованиям безопасности, типа данных авторизации и собственно реализации ИТ;c) предназначение ОО, включая тип продукта и предполагаемую сферу его применения.Исследование политик безопасности, угроз и рисков должно позволить сформировать следующие специфичные для безопасности материалы, относящиеся к ОО:a) изложение предположений, которым удовлетворяла бы среда ОО для того, чтобы он считался безопасным.
Это изложение может быть принято без доказательства при оценке ОО;b) изложение угроз безопасности активов, в котором были бы идентифицированы все угрозы, прогнозируемые на основе анализа безопасности как относящиеся к ОО. В ГОСТ Р ИСО/МЭК15408 угрозы раскрываются через понятия источника угрозы, предполагаемого метода нападения,любых уязвимостей, которые являются предпосылкой для нападения, и идентификации активов,которые являются целью нападения. При оценке рисков безопасности будет квалифицированакаждая угроза безопасности с оценкой возможности ее перерастания в фактическое нападение,вероятности успешного проведения такого нападения и последствий любого возможного ущерба;c) изложение политики безопасности, применяемой в организации, в котором были бы идентифицированы политики и правила, относящиеся к ОО.
Для системы ИТ такая политика можетбыть описана достаточно точно, тогда как для продуктов ИТ общего предназначения или классапродуктов о политике безопасности организации могут быть сделаны, при необходимости, толькорабочие предположения.5.3.2Цели безопасностиРезультаты анализа среды безопасности могут затем использоваться для установления целей безопасности, которые направлены на противостояние установленным угрозам, а также проистекают из установленной политики безопасности организации и сделанных предположений. Цели безопасности должны быть согласованы с установленными целями применения или предназначением ОО как продукта, а также со всеми известными сведениями о физической среде ОО.Смысл определения целей безопасности заключается в том, чтобы соотнести их со всемипоставленными ранее вопросами безопасности и декларировать, какие аспекты безопасности связаны непосредственно с ОО, а какие – с его средой.














