Стандарт ИСО/МЭК 15408-3. Часть 3. Менеджмент риска. Методы оценки риска

Содержание

Слайд 2

Учебные вопросы.
1. Требования доверия к безопасности.
2. Краткий обзор стандарта.

Учебные вопросы. 1. Требования доверия к безопасности. 2. Краткий обзор стандарта.

Слайд 3

1-й учебный вопрос:
« Требования доверия к безопасности»

1-й учебный вопрос: « Требования доверия к безопасности»

Слайд 4

Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на оценке (активном исследовании)

Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на оценке (активном исследовании)
продукта ИТ, который должен соответствовать определенным критериям безопасности.

Слайд 5

По возможности уязвимости следует:
a) устранить, т.е. следует предпринять активные действия для

По возможности уязвимости следует: a) устранить, т.е. следует предпринять активные действия для
выявления, а затем удаления или нейтрализации всех уязвимостей, которые могут проявиться;
b) минимизировать, т.е. следует предпринять активные действия для уменьшения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей;
  с) отслеживать, т.е. следует предпринять активные действия для обнаружения любой попытки использовать остаточные уязвимости с тем, чтобы ограничить ущерб.

Слайд 6

Уязвимости могут возникать из-за недостатков:
a) требований, т.е. продукт ИТ может обладать

Уязвимости могут возникать из-за недостатков: a) требований, т.е. продукт ИТ может обладать
требуемыми от него функциями и свойствами, но все же содержать уязвимости, которые делают его непригодным или неэффективным в части безопасности;
b) проектирования, т.е. продукт ИТ не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;
c) эксплуатации, т.е. продукт ИТ разработан в полном соответствии с корректной спецификацией, но уязвимости возникают как результат неадекватного управления при эксплуатации.

Слайд 7

Методы оценки могут, в частности, включать в себя:     
- анализ и проверку

Методы оценки могут, в частности, включать в себя: - анализ и проверку
процесса (процессов) и процедуры (процедур);   
- проверку того, что процесс (процессы) и процедура (процедуры) действительно применяются;
- анализ соответствия между представлениями проекта ОО;
- анализ соответствия каждого представления проекта ОО требованиям;

Слайд 8

- верификацию доказательств;
- анализ руководств;
- анализ разработанных функциональных тестов

- верификацию доказательств; - анализ руководств; - анализ разработанных функциональных тестов и
и предоставленных результатов; 
- независимое функциональное тестирование;     
- анализ уязвимостей, включающий предположения о недостатках;     
- тестирование проникновения.

Слайд 9

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения
больших усилий при оценке, и что цель состоит в применении минимальных усилий, требуемых для обеспечения необходимого уровня доверия.

Слайд 10

Повышение уровня усилий может быть основано на:
области охвата, т.е. увеличении рассматриваемой части

Повышение уровня усилий может быть основано на: области охвата, т.е. увеличении рассматриваемой
продукта ИТ;
глубине, т.е. детализации рассматриваемых проектных материалов и реализации;
строгости, т.е. применении более структурированного и формального подхода.

Слайд 11

    2-й учебный вопрос:
«Краткий обзор стандарта»

2-й учебный вопрос: «Краткий обзор стандарта»

Слайд 12

Функциональный класс

Имя класса

Представление класса 

Функциональные семейства

Функциональный класс Имя класса Представление класса Функциональные семейства

Слайд 13

Функциональное семейство

Имя семейства

Характеристика семейства

Ранжирование компонентов

Управление

Аудит

Компоненты

Функциональное семейство Имя семейства Характеристика семейства Ранжирование компонентов Управление Аудит Компоненты

Слайд 14

уровни детализации:
- минимальный – успешное использование механизма безопасности;
- базовый – любое использование

уровни детализации: - минимальный – успешное использование механизма безопасности; - базовый –
механизма безопасности, а также информация о текущих значениях атрибутов безопасности.
- детализированный – любые изменения конфигурации механизма безопасности, включая параметры конфигурации до и после изменения.

Слайд 15

Компонент

Имя семейства

Функциональные элементы

Зависимости

Компонент Имя семейства Функциональные элементы Зависимости

Слайд 17

Имя класса

Семейство 1

Семейство 2

Семейство 3

Имя класса Семейство 1 Семейство 2 Семейство 3

Слайд 18

Класс доверия

Класс доверия

Слайд 19

Каждый элемент доверия принадлежит к одному из трех типов:
a) Элементы действий

Каждый элемент доверия принадлежит к одному из трех типов: a) Элементы действий
разработчика, определяющие действия, которые должны выполняться разработчиком. Требования к действиям разработчика обозначены буквой "D" после номера элемента.
b) Элементы содержания и представления свидетельств, определяющие требуемые свидетельства и отражаемую в них информацию. Требования к содержанию и представлению свидетельств обозначены буквой "С" после номера элемента.
c) Элементы действий оценщика, определяющие действия, которые должны выполняться оценщиком. Требования к действиям оценщика обозначаются буквой "Е" после номера элемента.
Имя файла: Стандарт-ИСО/МЭК-15408-3.-Часть-3.-Менеджмент-риска.-Методы-оценки-риска.pptx
Количество просмотров: 38
Количество скачиваний: 0