Контекст оценки.

Для достижения большей сравнимости результатов оценок их следует проводить в рамках офи­циальной системы оценки, которая устанавливает стандарты, контролирует качество оценок и опре­деляет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и самим

оценщикам.

В ИСО/МЭК 15408 (во всех частях) не излагаются требования к правовой базе. Однако согла­сованность правовой базы различных органов оценки является необходимым условием достижения взаимного признания результатов оценок.

Второе направление достижения большей сравнимости результатов оценок заключается в ис­пользовании общей методологии получения этих результатов. Для всех частей ИСО/МЭК 15408 такая методология приведена в ИСО/МЭК 18045

Использование общей методологии оценки позволяет достичь повторяемости и объективности результатов, но только этого недостаточно. Многие из критериев оценки требуют привлечения эксперт­ных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для повышения согласованности выводов, полученных при оценке, ее конечные результаты могут быть представлены на сертификацию.

Процесс сертификации представляет собой независимую экспертизу результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публику­ются и являются общедоступными. Сертификация является средством обеспечения большей согласо­ванности в применении критериев безопасности ИТ.

Системы оценки и процессы сертификации находятся в ведении органов оценки, управляющих системами и процессами оценки, и не входят в область действия ИСО/МЭК 15408 (всех частей).

Общая модель.

Активы и контрмеры.

Безопасность связана с защитой активов. Активы — это сущности, представляющие ценность для кого-либо. Примеры активов включают:

- содержание файла или сервера;

- подлинность голосов, поданных на выборах;

- доступность процесса электронной коммерции;

- возможность использовать дорогостоящий принтер;

- доступ к средствам ограниченного доступа.

Но так как ценность — это весьма субъективное понятие, то почти все, что угодно, может рассма­триваться в качестве активов.

Среда, в которой размещаются эти активы, называется средой функционирования. Примерами (аспектами) среды функционирования являются:

- компьютерное помещение в банке;

- компьютерная сеть, подключенная к Интернету;

- локальная вычислительная сеть (ЛВС);

- обычная офисная среда.

Владельцы активов будут воспринимать такие угрозы как потенциальную возможность нанесения такого ущерба активам, при котором ценность активов для владельцев уменьшилась бы. Специфичный

для безопасности ущерб обычно состоит в следующем (но не ограничивается этим): потеря конфиден­циальности активов, потеря целостности активов или потеря доступности активов.

Таким образом, эти угрозы увеличивают риски для активов, зависящие от вероятности реализации угрозы и ущерба активам при реализации рассматриваемой угрозы. Для того чтобы уменьшить риски для активов, реализуются контрмеры. Эти контрмеры могут включать ИТ-контрмеры (такие как межсе­тевые экран и смарт-карты) и не-ИТ-контрмеры (такие как охрана и процедуры). Более широкое рассмотрение контрмер (мер безопасности), а также способов их реализации и управления ими представлено в ИСО/МЭК 27001 и ИСО/МЭК 27002.