Отримані дані беруться до уваги під час аналізу середовища безпеки.
Наступний крок – аналіз середовища.
Аналіз середовища здійснюється з метою встановлення потенційних загроз безпеці, визначення правил політики безпеки та допущення безпеки. Вхідними даними є відповідні каталоги, що містяться у базах даних CC PKB. Керівні вказівки містяться в ISO/IEC 15466. Інструментарій, що використовується аналітиком ризиків, є відповідним базі даних CC PKB.
Результатом виконання задач є:
- опис загроз безпеці;
- опис положень (правил) політики безпеки;
- опис допущень щодо безпеки.
Загрози безпеки, положення (правила) безпеки та опис допущень щодо безпеки є основою для визначення задач захисту. Задачі захисту формулюються у відповідності до рекомендацій ISO/IEC 15466 (розділ 5). Вхідними даними є каталог стандартних задач захисту. Враховуючи взаємозв’язок типу:
що встановлюється CC PKB формується вихідний результат роботи – множина задач захисту.
Останнім етапом є формування вимог безпеки. На рисунку 5.3 надано декомпозицію задачі „Визначити вимоги безпеки”. Ця задача складається за таких підзадач:
- встановлення функціональних вимог безпеки до об’єкту оцінки;
- встановлення вимог гарантій безпеки;
- встановлення вимог безпеки до середовища;
- обґрунтування вимог безпеки .
Функціональні вимоги визначаються у відповідності до вимог ISO/IEC 15408 та ISO/IEC 15466 та з урахуванням задач захисту. Вхідними даними є каталог функціональних вимог безпеки. Сутність формування полягає у виборі функціональних вимог безпеки, які спрямовані на вирішення визначених задач захисту та адаптування їх стандартної форми до конкретного об’єкту оцінки. Проектування полягає у виконанні над стандартними вимогами встановлених операцій (призначення, вибір, уточнення, повторення). Відображення визначається за допомогою CC PKB.
Вхідними даними є стандартизований каталог вимог гарантій. Сутність формування полягає у виборі вимог гарантій безпеки, які спрямовані на вирішення визначених задач захисту.
Відображення визначається за допомогою відповідної форми CC PKB.
За необхідністю формується вимога безпеки для середовища об’єкту оцінки.
Останнім етапом формування вимог безпеки є їх обґрунтування. На етапі обґрунтування здійснюють:
- обґрунтування вибору задач захисту;
- обґрунтування вибору функціональних вимог безпеки;
- встановлення залежності обраних компонентів вимог безпеки.
Обґрунтування вибору задач захисту здійснюється шляхом встановлення того, що для визначених загроз безпеці, встановлених правил політики та допущень визначені відповідні задачі захисту. Тобто встановлюється відображення множин: ; ;
- множина загроз безпеці
- множина правил політики безпеки
- множина допущень
- множина задач захисту
Необхідно довести, що кожному елементу множини , , відповідає один або декілька елементів з множини
Таблиця 3.1 Відповідність загроз безпеці задачам захисту
Загрози безпеці |
Задачі захисту |
|||
Х |
Х |
|||
Х |
Х |
|||
Х |
Таблиця 3.2 Відповідність політик безпеки задачам захисту
Правил безпеки |
Задачі захисту |
|||
Х |
||||
Х |
Х |
|||
Х |
||||
Х |
Таблиця 3.3 Відповідність допущень щодо безпеки задачам захисту
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.