Стандарт ИСО/МЭК 15408-3. Часть 3. Менеджмент риска. Методы оценки риска

Содержание

Слайд 2

Учебные вопросы.
1. Требования доверия к безопасности.
2. Краткий обзор стандарта.

Учебные вопросы. 1. Требования доверия к безопасности. 2. Краткий обзор стандарта.

Слайд 3

1-й учебный вопрос:
« Требования доверия к безопасности»

1-й учебный вопрос: « Требования доверия к безопасности»

Слайд 4

Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на оценке (активном исследовании)

Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на оценке (активном исследовании)
продукта ИТ, который должен соответствовать определенным критериям безопасности.

Слайд 5

По возможности уязвимости следует:
a) устранить, т.е. следует предпринять активные действия для

По возможности уязвимости следует: a) устранить, т.е. следует предпринять активные действия для
выявления, а затем удаления или нейтрализации всех уязвимостей, которые могут проявиться;
b) минимизировать, т.е. следует предпринять активные действия для уменьшения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей;
  с) отслеживать, т.е. следует предпринять активные действия для обнаружения любой попытки использовать остаточные уязвимости с тем, чтобы ограничить ущерб.

Слайд 6

Уязвимости могут возникать из-за недостатков:
a) требований, т.е. продукт ИТ может обладать

Уязвимости могут возникать из-за недостатков: a) требований, т.е. продукт ИТ может обладать
требуемыми от него функциями и свойствами, но все же содержать уязвимости, которые делают его непригодным или неэффективным в части безопасности;
b) проектирования, т.е. продукт ИТ не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;
c) эксплуатации, т.е. продукт ИТ разработан в полном соответствии с корректной спецификацией, но уязвимости возникают как результат неадекватного управления при эксплуатации.

Слайд 7

Методы оценки могут, в частности, включать в себя:     
- анализ и проверку

Методы оценки могут, в частности, включать в себя: - анализ и проверку
процесса (процессов) и процедуры (процедур);   
- проверку того, что процесс (процессы) и процедура (процедуры) действительно применяются;
- анализ соответствия между представлениями проекта ОО;
- анализ соответствия каждого представления проекта ОО требованиям;

Слайд 8

- верификацию доказательств;
- анализ руководств;
- анализ разработанных функциональных тестов

- верификацию доказательств; - анализ руководств; - анализ разработанных функциональных тестов и
и предоставленных результатов; 
- независимое функциональное тестирование;     
- анализ уязвимостей, включающий предположения о недостатках;     
- тестирование проникновения.

Слайд 9

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения
больших усилий при оценке, и что цель состоит в применении минимальных усилий, требуемых для обеспечения необходимого уровня доверия.

Слайд 10

Повышение уровня усилий может быть основано на:
области охвата, т.е. увеличении рассматриваемой части

Повышение уровня усилий может быть основано на: области охвата, т.е. увеличении рассматриваемой
продукта ИТ;
глубине, т.е. детализации рассматриваемых проектных материалов и реализации;
строгости, т.е. применении более структурированного и формального подхода.

Слайд 11

    2-й учебный вопрос:
«Краткий обзор стандарта»

2-й учебный вопрос: «Краткий обзор стандарта»

Слайд 12

Функциональный класс

Имя класса

Представление класса 

Функциональные семейства

Функциональный класс Имя класса Представление класса Функциональные семейства

Слайд 13

Функциональное семейство

Имя семейства

Характеристика семейства

Ранжирование компонентов

Управление

Аудит

Компоненты

Функциональное семейство Имя семейства Характеристика семейства Ранжирование компонентов Управление Аудит Компоненты

Слайд 14

уровни детализации:
- минимальный – успешное использование механизма безопасности;
- базовый – любое использование

уровни детализации: - минимальный – успешное использование механизма безопасности; - базовый –
механизма безопасности, а также информация о текущих значениях атрибутов безопасности.
- детализированный – любые изменения конфигурации механизма безопасности, включая параметры конфигурации до и после изменения.

Слайд 15

Компонент

Имя семейства

Функциональные элементы

Зависимости

Компонент Имя семейства Функциональные элементы Зависимости

Слайд 17

Имя класса

Семейство 1

Семейство 2

Семейство 3

Имя класса Семейство 1 Семейство 2 Семейство 3

Слайд 18

Класс доверия

Класс доверия

Слайд 19

Каждый элемент доверия принадлежит к одному из трех типов:
a) Элементы действий

Каждый элемент доверия принадлежит к одному из трех типов: a) Элементы действий
разработчика, определяющие действия, которые должны выполняться разработчиком. Требования к действиям разработчика обозначены буквой "D" после номера элемента.
b) Элементы содержания и представления свидетельств, определяющие требуемые свидетельства и отражаемую в них информацию. Требования к содержанию и представлению свидетельств обозначены буквой "С" после номера элемента.
c) Элементы действий оценщика, определяющие действия, которые должны выполняться оценщиком. Требования к действиям оценщика обозначаются буквой "Е" после номера элемента.
- Предыдущая
Аналіз вимог та моделювання ПЗ Автоматизована інформаційна система супроводу навчання школярів
Следующая -
Реклама на транспорті

Похожие презентации

Интернет. Викторина
Устройства ввода
Интернет-культура и библиотечные блоги как основа работы со школьниками в ее формировании
Информация, информационные процессы и информационное общество (лекция 2)
Об утверждении Порядка организации процессов жизненного цикла информационных систем в Федеральном казначействе
Введение в базы данных
Технология создания цифровой мультимедийной информации
Элементы языка Паскаль
Защита конфиденциальной информации от несанкционированного доступа в автоматизированных системах
unity 2
Основы программирования. Рекуррентные вычисления
Imagin. Приложение – стилист для онлайн шоппинга
Языки программирования
Система управления облачным кластером на основе открытых технологий
Песня из фильма Тайна Снежной королевы
Отрисовка дизайна сайта
Устройство компьютера
Components. Data binding. Базовая структура приложения
Построение таблиц истинности для логических выражений
Операционная система. Классификация операционных систем
CryptoBox. Применение шифрования
Виртуальная экскурсия по Ставропольской краевой универсальной научной библиотеке им. М. Ю. Лермонтова
Продажа металлолома и сырых шкур
Разработка программного обеспечения для управления движением мобильной платформы KUKA youBot
Basic Local Alignment
Програмные средства математических расчётов
Контроль и оценка качества обучения с ипользованием платформы Учи.ру
Информационно-коммуникативные технологии
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть