А.7.2 Части решения проблемы ГОСТ Р ИСО/МЭК 15408-1-2012|Техническая документация

В ЗБ высокоуровневое решение проблемы, которое описывается целями безопасности, делится на две части. Эти части описания решения названы целями безопасности для ОО и целями безопасности для среды функционирования. Это отражает, что данные части решения обеспечиваются двумя различными сущностями: ОО и средой функционирования [из А.7.2 Части решения проблемы ГОСТ Р ИСО/МЭК 15408–1–2012]

А.7.2.1 Цели безопасности для ОО ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28439 💥

ОО обеспечивает функциональные возможности безопасности для решения некоторой части проблемы, определенной в разделе ЗБ «Определение проблемы безопасности». Данная часть решения названа целями безопасности для ОО и включает совокупность целей, которые должны быть достигнуты ОО, чтобы решить свою часть проблемы.

Примеры целей безопасности для ОО:

ОО должен обеспечивать конфиденциальность содержания всех файлов, передаваемых между ним и сервером;
ОО должен выполнять идентификацию и аутентификацию всех пользователей до предоставления им доступа к сервису передачи информации, предоставляемого ОО;
ОО должен ограничить доступ пользователей к данным согласно политике доступа к данным, описанной в приложении к ЗБ.

Если ОО является физически распределенным, может оказаться предпочтительным разделить подраздел ЗБ, содержащий цели безопасности для ОО, на несколько пунктов, чтобы учесть это [из А.7.2.1 Цели безопасности для ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

А.7.2.2 Цели безопасности для среды функционирования ГОСТ Р ИСО/МЭК 15408-1-2012

⇪В 28439 💥

В среде функционирования ОО применяются технические и процедурные меры для поддержки ОО в отношении корректной реализации его функциональных возможностей безопасности (которые определены целями безопасности для ОО). Данная часть решения проблемы названа целями безопасности для среды функционирования и включает совокупность утверждений, описывающих цели, которые должны быть достигнуты средой функционирования.

Примеры целей безопасности для среды функционирования:

в среде функционирования должно быть предоставлено автоматизированное рабочее место с установленной ОС Linux версии 3.01 b для функционирования ОО на его базе;
в среде функционирования должно быть обеспечено, чтобы все люди – пользователи ОО были соответствующим образом обучены до того, как им будет разрешено работать с ОО;
среда функционирования ОО должна ограничить физический доступ к ОО, разрешая такой доступ только персоналу, выполняющему функции администраторов, и персоналу технической поддержки в сопровождении администраторов;
среда функционирования должна обеспечить конфиденциальность журналов аудита, сгенерированных ОО, до их отправки на центральный сервер аудита.

Если среда функционирования ОО состоит из нескольких областей, каждая из которых обладает разными характеристиками, может оказаться предпочтительным разделить подраздел ЗБ, содержащий цели безопасности для среды функционирования, на несколько пунктов, чтобы учесть это [из А.7.2.2 Цели безопасности для среды функционирования ГОСТ Р ИСО/МЭК 15408–1–2012]

Открыть в новой вкладке

Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

⇪В 28437 💥