Составители:
Рубрика:
173
нападение, вероятности успешного проведения такого нападения и по-
следствий любого возможного ущерба;
• изложение политики безопасности, применяемой в организации, в кото-
рой были бы идентифицированы политики и правила, относящиеся к
СИБ. Для системы ИТ такая политика может быть описана достаточно
точно, тогда как для продуктов ИТ общего предназначения или класса
продуктов о политике безопасности организации могут быть сделаны,
при необходимости, только рабочие предположения.
Чтобы обеспечить защищенность активов сети, вопросы безопасно-
сти необходимо рассматривать на всех уровнях, начиная с самого абст-
рактного и до конечной реализации СИБ в среде эксплуатации. Эти уровни
представления позволяют охарактеризовать и обсудить задачи и проблемы
безопасности.
ГОСТ
Р ИСО/МЭК 15408 требует, чтобы определенные уровни
представления СИБ содержали логическое обоснование средства на этом
уровне. Это значит, что такой уровень должен содержать достаточно ра-
зумные и убедительные аргументы, свидетельствующие о согласованности
данного уровня с более высоким уровнем, а также о его полноте, коррект-
ности и внутренней непротиворечивости. Изложение логического
обосно-
вания, демонстрирующее согласованность со смежным более высоким
уровнем представления, приводится как довод корректности СИБ. Логиче-
ское обоснование, непосредственно демонстрирующее соответствие целям
безопасности, поддерживает доводы об эффективности СИБ в противо-
стоянии угрозам и в осуществлении политики безопасности организации.
Результаты анализа среды безопасности используются для установ-
ления целей безопасности, которые направлены на
противостояние уста-
новленным угрозам, а также проистекают из установленной политики
безопасности организации и сделанных предположений.
Цель безопасности – это изложенное намерение противостоять уста-
новленным угрозам и/или удовлетворять установленной политике безо-
пасности организации и предположениям. Необходимо, чтобы цели безо-
пасности были согласованы с определенными ранее целями применения
или предназначением СИБ как
продукта, а также со всеми известными све-
дениями о физической среде СИБ. Цели безопасности должны отражать
изложенное намерение противостоять всем установленным угрозам и быть
подходящими для этого, а также охватывать все предположения безопас-
ности и установленную политику безопасности организации. Должны быть
выполнены следующие требования:
• цели безопасности для СИБ и его
компонент должны быть четко изло-
жены и сопоставлены с аспектами установленных угроз, которым необ-
Страницы
- « первая
- ‹ предыдущая
- …
- 172
- 173
- 174
- 175
- 176
- …
- следующая ›
- последняя »
