16. Понятие «доверие», «степень доверия», «уровень доверия».

Информационная безопасность (ИБ) любой системы, понимаемая как состояние защищенности. Для того, чтобы существовала возможность оценки уровня этого состояния, имеющего сложную разноплановую комплексную природу, в настоящее время используется понятие доверия к ИБ.

В документе Международной организации по стандартизации ISO 15443 под обеспечением доверия к безопасности информационных технологий понимается деятельность органа доверия, создающая основания для уверенности у заинтересованной стороны, что некоторый объект доверия достигает своих целей безопасности. Орган доверия - сущность, от которой ожидают достижения уверенности.

«доверие», применительно к информационной безопасности, связано с ожиданием положительного подтверждения прогноза безопасного поведения некоторой системы, базирующегося на некотором объеме знаний об этой системе. Безопасное состояние системы достигается целенаправленной человеческой деятельностью.

Такое понимание в основных чертах совпадает с определением понятия «доверие» (assurance) в национальном стандарте ГОСТ Р ИСО/МЭК 15408 «основание для уверенности в том, что сущность отвечает своим целям безопасности».

Прежде чем подвергнуть активы опасности воздействия выяв­ленных угроз, их владельцам необходимо убедиться, что пред­принятые контрмеры обеспечат адекватное противостояние этим угрозам. Сами владельцы активов не всегда в состоянии судить обо всех аспектах предпринимаемых контрмер и поэтому могут потребовать их оценку. Результатом такой оценки является за­ключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. В этом заключении устанавливается уровень доверия как результат применения контрмер. Доверие является той характеристикой контрмер, которая дает основание для уверенности в их надлежащем действии. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска, создаваемого угрозами. для активов.

Взаимосвязь.

17 Оценка доверия в гост р исо/ мэк 15408

Критерии доверия из ГОСТ Р ИСО/МЭК 15408 идентифици­руют следующие уровни абстракции проекта: функциональная спецификация, проект верхнего уровня, проект нижнего уровня и реализация. В зависимости от выбранного уровня доверия может потребоваться, чтобы разработчики показали, насколько методо­логия разработки отвечает требованиям доверия из ГОСТ Р ИСО/МЭК 15408.

Процесс оценки АС может прово­диться параллельно с разработкой или следом за ней. Основными исходными материалами для оценки АС являются:

- совокупность свидетельств, характеризующих АС, включая прошедшее оценку задание по безопасности в качестве основы оценки АС;

- АС, безопасность которой требуется оценить;

- критерии оценки, методология оценки и система оценки.

Кроме того, в качестве исходных материалов для оценки воз можно также использование вспомогательных материалов и спе­циальных знаний в области безопасности АС, которыми распола­гают оценщик и сообщество участников оценок.

Ожидаемым результатом оценки является подтверждение удовлетворения объектом оценки требований безопасности, а также один или несколько отчетов, документирующих выводы оценщика относительно АС, сделанные в соответствии с крите­риями оценки. Такие отчеты, помимо разработчика, будут полез­ны также реальным и потенциальным потребителям продукта или системы.

Степень уверенности, получаемая в результате оценки, зависит от удовлетворенных при оценке требований доверия (например, от оценочного уровня доверия).

Оценка может способствовать созданию более безопасных АС по двум направлениям. Оценка предназначена для выявления ошибок или уязвимостей в АС, устраняя которые, разработчик снижает вероятность нарушения безопасности АС при ее последующей эксплуатации. Кроме того, готовясь к строгой оценке, разработчик, возможно, более внимательно отнесется к проекти­рованию и разработке АС. Поэтому процесс оценки может оказывать значительное, хотя и косвенное, положительное влияние на начальные требования, процесс разработки, конечный продукт и условия его эксплуатации.

Данный стандарт идентифицирует разделенные понятия доверия к объекту оценки по завершению оценки и поддержки этого доверия в процессе эксплуатации объекта оценки.