Вопрос 15: Основные
понятия и идеи Общей методологии оценки безопасности ИТ. Входная и выходная
задачи, задача оценки
подписали соглашение о признании сертификатов по ОК в области безопасности ОТ. Участие в соглашении предусматривает соблюдение 2 независимых условий:
признание сертификатов, выданных соответствующими органами других стран-участниц;
возможность осуществления подобной сертификации.
соглашение предусматривает жёсткий контроль при получении и подтверждении этого права
Основная цель ОМО — добиться объективности, повторяемости и воспроизводимости. В процессе оценки выделяются задачи:
Входная задача имеет дело с представленными для оценки свидетельствами. Её назначение — убедиться, что версии свидетельств корректны и должным образом защищены.
На всех этапах оценки должна обеспечиваться конфиденциальность.
Задача оценки в общем случае разбивается на следующие подзадачи:
Необходимый элемент проверки — проверка внутренней согласованности каждого из представленных свидетельств, а также внешние взаимные согласованности различных свидетельств.
Внутренняя согласованность проверяется в первую очередь для сущностей, имеющих несколько представлений для спецификаций проекта всех уровней, для руководств.
Проверка внешней согласованности производится для описания функций, параметров безопасности, процедур и событий, связанных с безопасностью, поскольку эти описания могут содержаться в разных документах.
Внутренняя несогласованность высокоуровневых сущностей может иметь глобальные последствия для процесса оценки, например выявление противоречий в целях безопасности.
ЗБ среди других характеристик ОО определяет его границы и спектр рассматриваемых угроз, следовательно, процесс и результат оценки одного и того же продукта в сочетании с разными ЗБ могут быть разными. Например, если в ОО содержатся средства межсетевого экранирования и поддержки виртуальных частных сетей, но в ЗБ предусмотрено исключительно защита внутренней сети от внешних устройств, то средство ВЧС функций важны в этом случае лишь в контексте возможности обхода средств экранирования.
ОМО предписывает следующую структуру подобных отчётов: