КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Значимость уязвимостей
Подход к доверию
Основные принципы ОК
Парадигма доверия ОК
Область применения
Данная часть ОК определяет требования доверия ОК. Она включает оценочные уровни доверия (ОУД), определяющие шкалу для измерения доверия для составляющих Объектов Оценки (ОО), составные пакеты доверия, определяющие шкалу для измерения доверия для составных Объектов Оценки (ОО), отдельные компоненты доверия, из которых составлены уровни и пакеты доверия, а также критерии для оценки ПЗ и ЗБ.
Цель данного раздела состоит в изложении основных принципов и подходов к установлению доверия к безопасности. Данный раздел позволит понять логическое обоснование требований доверия, приведенных в данной части ОК.
Основные принципы ОК состоят в том, что следует четко сформулировать угрозы безопасности и положения политики безопасности организации, а предложенным мерам безопасности следует быть явно достаточными для достижения намеченной цели.
Более того, следует принять меры по уменьшению вероятности наличия уязвимостей, возможности использования какой-либо уязвимости (т.е. преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием использования уязвимости. Дополнительно следует предпринять меры для облегчения последующего определения уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации.
Основная концепция ОК – обеспечение доверия, основанное на оценке (активном исследовании) продукта ИТ, который должен быть доверенным. Оценка была традиционным способом обеспечения доверия и являлась основой предшествующих критериев оценки. Для согласования с существующими подходами в ОК принят тот же самый основной принцип. В ОК предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.
В ОК не отрицаются и не упоминаются относительные достоинства других способов получения доверия. Продолжаются исследования альтернативных путей достижения доверия. Если в результате этих исследований будут выявлены другие отработанные альтернативные подходы, то они могут в дальнейшем быть включены в ОК, который структурно организован так, что предусматривает такую возможность.
Предполагается, что имеются источники угроз, которые будут активно стремиться использовать возможности нарушения политики безопасности, как для получения незаконной выгоды, так и для выполнения незлонамеренных, но, тем не менее, опасных действий. Источники угроз могут также случайно активизировать уязвимости безопасности, нанося вред организации. При необходимости обрабатывать чувствительную информацию и отсутствии достаточно доверенных продуктов имеется значительный риск из-за отказов ИТ. Поэтому вероятно, что нарушения безопасности ИТ могут вызвать значительные потери.
Нарушения безопасности ИТ возникают вследствие преднамеренного использования или случайной активизации уязвимостей при применении ИТ по назначению.
Следует предпринять ряд шагов для предотвращения уязвимостей, возникающих в продуктах ИТ. По возможности уязвимости следует:
a) устранить, т.е. следует предпринять активные действия для выявления, а затем удаления или нейтрализации всех уязвимостей, которые могут быть использованы;
b) минимизировать, т.е. следует предпринять активные действия для уменьшения до допустимого остаточного уровня возможного воздействия от любого использования некоторой уязвимости;
c) отслеживать, т.е. следует предпринять активные действия для обнаружения любой попытки использовать остаточную уязвимость с тем, чтобы можно было предпринять действия по ограничению ущерба.
|
|
Дата добавления: 2014-01-15; Просмотров: 347; Нарушение авторских прав?; Мы поможем в написании вашей работы!