还剩17页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
ICS
35.040L80OB中华人民共和国国家标准化指导性技术文件GB/Z XXXXX.3—XXXX/1SO/1EC TR15443-3:2007信息技术安全技术信息技术安全保障框架第部分保障方法分析3Information technology-Security technology-A frameworkfor ITsecurityassurance-Part3:Analysis ofassurance methods(ISO/IEC TR15443-3:2007,IDT)(报批稿)(本稿完成日期:2012-02-09)发布实施XXXX-XX-XX XXXX-XX-XX中华人民共和国国家质量监督检验检疫总局国家标准化管理委员会组织强制使用一定的保障格式甚至保障方法客户的保障需求是以保障方法所提供的保障陈述形式标识的必须考虑具有支持作用的保障论据,特别是它们的保障严格程度(参见表3)多半保障方法产生多种类型的保障需求,并且保障严格程度依赖于相应的保障方法因此,为了确保最终要满足用户的保障需求和最终的保障目标,必须认真组合所选择的保障方法
4.
1.2保障的使用用户的保障供给具有不同观点从最终的保障机构的视角来说,用户的目的是获得信心,即特定产品满足他的特定保障目标,这一信心是对产品以及组织语境的整个安全期望,其中,该产品是在这一语境下予以实现、部署和/或运行的理想上,保障目标是通过风险评估来建立的,或可能是由组织策略予以施加的信心可通过选择和应用正式的或非正式的评估活动来获得这样的活动可以由供应商、系统集成方提供,或由用户执行,或用户指派特定人群按其要求执行保障的使用可以如同表2所表达的那样该表还提供了可使用户建立最终信心的活动表2保障供给的使用相关的评估用户类型要寻求的保障用户保障的鉴别活动严格程度特定用户内容标记Labelling低检测内容标记是否是有意义的,是否是认可的并可应用于已领悟的保障目标一般用户标签、标记、印记低检测内容标记是否是有含义的,是否是认可的并可应用于已领悟的保障目标内部客户保障陈述的专有形式确认内部的信任,例如通过提出适当的问题任意特定用户群的成员标记确认标记的信任,例如通过提出有关其他成员或其他高团体组织的问题小规模的组织标签或印记检测内容标记是否是有意义的,是否是认可的并可应中用于已领悟的保障目标认可的“质量标签”是完美的大规模的组织详细的保障陈述高通过组织专家已验证和确认陈述特殊复杂的组织认证或意图陈述合理高信任可由第三方评价和/或认证提供,至少通过保障提供者的声誉
4.
1.3残余风险在其最基本的等级中,保障为用户提供了如下的信心,即“一个产品将按提供者所宣称的那样运行,而没有表现出不期望行为”但是,保障与其他安全保证措施不一样,其本身并不提供任意附加的功能(安全机制),因此保障不能抵御任何附加的脆弱性和威胁所有安全元素,特别是在与方法的使用相对独立的风险管理中,包括一些不确定性不确定性来源于许多地方,例如不完全了解所有因素,不了解测量中的容错以及这些因素的外延等在某些情况中,这样的不确定性可能很大,以至它表达了残余风险的主要因素其它因素是目标运行环境的脆弱性以及安全机制的不完美如果保障是严格的话,必然涉及安全特性和安全机制,这样就可减少与这些因素相关的不确定性,从而减少整个风险在一些确定的情况中,保障可能仅是一种减少不确定性的方式如果没有增加任何新的安全机制的话,保障可以把风险减少到一个可接受的程度在这一情况中,保障成本就可直接为安全的效益作出贡献由上可见,保障的目标是减少风险
4.2保障方法的应用保障方法具有一些可作为一些部件或一些方面的不同特性为了提供有关如何选择一个或多个方法的指导,有必要以类似的形式,特征化地描述可在不同保障方法中发现的这些部件或这些方面一个给定的保障方法可以包括一些一般性的保障特性,或可能关注一些特定的保障特性按着本标准第1部分和第2部分所描述的那些内容,通过评估——产品,或在该产品创建之后;——过程,创建该产品期间所使用的过程;——环境,实现产品的环境,即涉及的人员和组织;一些方法就有可能达到(实现)一个产品的保障
4.
2.1保障严格性由保障方法所提供的严格性,通常规定了它的使用,如表3所示:表3保障的严格程度严格程度使用1简单的“批准的保障印记”2有关保障的符合程度陈述3支持所宣称保障的详事实4支持所宣称保障并可验证的详细事实5对一般受众(例如,董事会)的表达,并得到认可6对安全专业受众的表达,并受到已授权受众的认可注1除了必须考虑表达强度之外,还要考虑该表达的支持论据的强度在特殊的情况中,可应用一些限制和约束注2当把一些已评估部件的保障,组合到一个可部署的系统中时,度量可能是重叠的和/或可能存在一些“空隙”问题注3第2部分没有提供有关评估严格性的评定应用范围所获得的保障还可能由于保障途径关注点的范围而有变化,参见表4表4保障途径应用范围保障途径保障方法的关注点应用范围产品产品、系统或服务的特性,以便确定该产品或系统的产品或系统的某些方面保障产品或系统的所有方面过程组织针对一个特定产品或系统所使用的开发过程,以开发的某些方面便确定该产品或系统的保障开发的所有方面组织针对所有产品或系统所使用的开发过程开发的某些方面开发的所有方面环境执行该任务所雇用的人员人员的资质声誉组织组织为关注后来发现的问题,采取的演示式动作,以及这些动作的速率声誉
4.
2.3应用与生存周期第1部分基于IS0/IEC15288采用了一种阶段式模型每一生存周期阶段对应一个环境中应用到一个产品的过程每一过程由一个活动集组成,并使用该环境的资源应用每一阶段的过程和过程活动,一个产品、系统或服务交付件在其生存周期得以处理第1部分引入了一个框架,该框架允许表征要予评估的产品类型、保障途径和保障阶段一直存在一些要予强调的问题第3部分将扩展在第1部分所建立的概念框架,以便允许做进一步分析在本部分中,将通过增加概念/规约阶段来增强生存周期阶段式模型(参见表5)基于许多标准,本指导性技术文件给出对应“概念和/或规约阶段”的过程然而相互分离的生存周期阶段通常不一定以这些过程为前提目前只有几个保障方法为这一生存周期阶段提供了良好定义的相关过程和活动,即公认的需求工程原理在本部分中,增加“概念和或规约阶段”的理由是,ICT安全要求对产品安全特征的高内聚和低耦合规约的产生,应予特别的注意,并要增加适当的工作为了适于ICT安全领域,现有几个保障方法已为这一生存周期阶段提供了良好定义的过程和活动在这一增强的模型中,使用表5中的5列来表达不同的生存周期阶段并且,为了接近IS0/IEC15288的概念,把技术上的生存周期过程分组到五个阶段中,每一列代表一组过程,并缩写为一个字符C概念,引导建立安全设计需求,其中可包括一个整体上的体系结构D设计,包括利益有关方功能需求定义过程,需求分析过程,体系结构设计过程和实现过程I集成,包括集成过程和验证过程T转移包括复制过程,转移过程,部署过程和确认过程0运行,包括运行过程,维护过程和销毁过程表5生存周期保障模型保障阶段概念/规格说明设计/执行集成/验证开发/转移运行I保障途径产品=c==D=nln nTn=0=过程C DT0I环境|i;10LJ__U1U11在第1部分中,开发了以下三个概念:-一产品保障,由于保障可能关注过程的结果-产品,从而出现产品保障-一过程保障,由于组织及其用户通常关注正应用于产品的过程,即他们或相当严格地或不大严格地规约应用于产品的过程,或经常或强或弱地改进这些过程因此,保障可能关注应用于产品的过程,而不是关注产品本身,从而出现过程保障-一环境保障,由于过程的执行需要一个环境,其中涉及人、设施和其它资源等因此,保障可能关注处理一个产品的环境,而不是产品或过程,从而出现环境保障注在本指导性技术文件中,没有细化生存周期途径的范围及其过程和活动,但是为了更细腻地对保障方法进行比较,必要时可能对它们进行细化
4.
2.4生存周期过程管理生存周期阶段C-D-I-T-O由可应用于特定ICT交付件及其构件如,硬件、软件、服务的过程组成在关注质量和改进的情况中,这些过程及其活动可从属于过程管理过程管理本身又是一个过程,该过程不是在项目层面上执行,而是在组织层面上执行因此,过程管理是一个组织方面的过程,独立于一个特定的项目但是,只有当这些过程被IT管理人员或被ICT项目的产品开发人员重复执行时,过程管理才会有意义在本部分中,通过增加过程管理作为另一维度来增强第1部分中的生存周期过程模型在ICT安全中,这一维度对于运行阶段中应用于ICT系统的安全管理方法尤为重要,例如在ISO/IEC27002及其关联的ISO/IEC27001的情况中过程管理涉及生存周期过程的开发、使用和改进,主要包括——过程定义,包括过程开发及建档;——过程的重复使用;——过程评估和测量;——过程改进过程可以从属于第三方的认证与这些步骤相关联的过程/活动数量,对应于一个进展progression,并依赖dependency——如果没有已制定的和建档的过程,就不存在重复使用;——如果没有过程的重复使用,就不存在过程评价和测量;——如果没有过程评价和/或测量,就不存在过程改进;——如果没有过程评价和/或测量,最终就不存在认证当改进导致过程及其文档的改变时,过程管理就可能被认为是一个不断改进的循环模型,如图2所示图2生存周期过程管理注1为了获得过程的可测量性,这些只能按照文档所述的那样予以使用过程管理是第2维度的过程,与C-D-I-T-0阶段这一维度的过程是正交的如果一个保障方法提供了过程保障,那么这就意味着应用于一个产品的过程就从属于过程管理如果一个方法的保障阶段用灰色表示(参考表6,第2,4,6,7单元格),那么该方法就提供了过程管理注2注2产品开发和过程开发非常类似,因此很容易引起混淆它们必须予以区分和分离
4.
2.5生存周期特性的累积相对于生存周期特性,方法并不是十分完备的然而生存周期特性可以予以累计,这可以表征一个方法的完美性,但又表征一个方法的复杂性在本指导性技术文件的第1部分中,规约了一些值得重视的、表现为一个保障方法的保障途径这些保障途径可用符号表达为——产品保障在箭头中间以黑体字符显示生存周期阶段,例如=D=——过程保障在阴影中以白色字符显示生存周期阶段,例如——环境保障在左右两个黑棒之间的字符,显示生存周期阶段,例如这些途径可以予以累积,如表6所示其中,对于一个给定的保障方法以及值得重视的生存周期阶段,给出了等级
(7)这一有意义的可能性通过部件数目可以看出,等级7是最完备的一个等级,而且通过术语、过程和结果,等级7至少表达了综合性以及与希望一致等优点这特别会影响培训及成本注综合性并不意味着最完备的方法对一种特定的保障情况而言必然是最好的方法的好与不好,必须要考虑它的其它方面,例如严格性、详细程度以及所关联的成本等表6保障途径级别产品保障过程保障环境保障生存周期阶段X图示1V nXn2X3J1|_^4V=x=5V167J11_7V士
4.3保障结果的评估对于那些提供保障的产品、过程和环境而言,其安全相关特性存在于它们最初的格式声明中,这一声明是由原单位(通常是该交付件、服务或环境的生产者)做出的为了验证这些声明的保障,可能需要评估相应的保障结果,或可能需要认证之可以建立一个保障评估模型该模型定义了一系列通用的、可应用于这一技术报告中所提及的任意保障方法的步骤这一保障质量模型,需要——人员-评估者-或团体,对应用的准则进行验证;——评估规则、准则和/或方法学,它们是一个评估的基础——认证,授权审计人员,和/或依据评估规则完成相应的评估过程——评估结论,给出该评估的结果这一类完整的模型通常称为一个保障模式
1.
1.
13.1评估员产品安全保障特性的评估,可以由产品的用户进行这涉及到一些专门的知识为了节省时间和成本,这一评估可聘请有经验的第三方进行由于第三方是相对独立的这一简单事实,因此第三方的评估可进一步增强保障注有关人员保障应当认证该评估者的资格是否是可接受的
1.
1.2评估准则和方法学为了使评估是可重复的,评估规则需要文档化,并需要与方法学互补注在人员评估中,被评估的交付件是一个人
1.
1.3评估证据对所有评估方法而言,其共性是它们的评估结果一般是基于证据的证据是由一些陈述给出的,并一般采用文档形式证据证明了过程中的动作以及计划和规程,均按安全策略和安全概念各自有效地执行这些内容必须予以评审,并且如果需要的话,还要按规定的方式予以修正该文档最重要的需求是——稳定性(文档必须反映实际情况)——完整性(所有关注的问题必须建立相应的文档)——细节的充分程度——配置控制和完整性控制(对文档的未授权改变)在保障方法的详细分析中,将进一步探索这一文档的需求和可比性问题
4.
3.4评估结论定量或定性的评估结果必须予以规约这可以以最简单的形式通过/失败;而更详细的结果通常采用一种评定格式,例如一些不同的等级,其中包括一个对应于“失败”的评定与某些其它技术领域不同,安全具有不断演进的特征这是因为交付件的复杂性,新的安全缺陷可能出现;这是因为威胁环境,新的威胁可能需要予以抵御
5.
3.5评估维护一旦做完了一个评估,就必须定期地提出问题,或按由事件触发的时间间隔提出相应的问题评估维护是为了确保所赋予的安全保障结果或评定的时效性注在人员保障中,这可能意味着不断进行人员培训,人员的定期再评估或再认证
4.
3.6例子保障机构-一个供应商,按IS0/IEC15408评估准则构造了一个可信系统,满足一般性的需求评估服务机构的评价人员评估该供应商的系统,以确保该系统符合这些一般性需求,并符合IS0/IEC15408为了再现性,该评估机构应用IS0/IEC18043(评估方法学),并发布适当的批准评定按通用准则(CC)互认协议,评估人员和评估服务机构得到国家认证认可机构的认可国家认证认可机构发布证书,给出该评价结果以及获得的评定这一认证可能需要对评价进行维护,以确保该产品的更新并没有危及最初的评定5保障的比较、选择和组合本部分的意图是,为保障机构在选择合适的ICT保障方法方面提供指导,以获得给定的保障目标,即满足组织的安全策略这一指导将有助于保障机构来确定——哪一种保障途径将提供最适合保障机构需要的保障结果;——每一种保障途径相对应的值最适合保障机构的特定语境;——如何处理复杂交付件(即不同硬件构件、软件构件、安全服务、环境方面或它们的组合)的保障
5.1保障途径的选择保障可以通过使用不同的方法获得不同的保障等级在这一节中,以得失攸关的角度,采用一对一比较方式,比较如下每一保障途径(不是方法)
5.
1.1障与过程保障;
5.
1.2障与环境保障
5.
1.3障与环境保障这三种途径对应表6中前三个条目比较的目标是为了了解如何以一般方式来选择其中一种保障途径注对应表6条目4-7的组合途径将在节
5.2中讨论
5.
1.4产品保障与过程保障产品保障关注有关产品的每一个定义,而过程保障关注在一给定数目的生存周期阶段中应用于该产品的过程在产品保障中,其声明是该产品的特征和性能已予深入细致地评估、测试或确认,以至该产品获得期望的可信等级产品保障的这一等级是所用准则(什么要予评估)和相应保障方法学(如何验证符合该准则)的一个函数在过程保障中,其假定是组织用于设计、开发、生产和/或运行一个产品的过程,具有可预测的、可重复的结果,并由此产生一个具有所建保障的产品但是,在生产人员所使用的过程中,即使是最可信的用户,也不能保证他们就一个给定的产品均正确、有效地应用了这些过程换言之,对于一个高等级保障的产品而言,产品保障(或评估)是必要的在产品保障中,每一产品必须分别予以评估,这样整个成本就随照开发的产品数目而不断增加然而,从制造商的观点来看,如果用户对制造商的过程保障是满意的,即所使用的过程符合可信赖的过程质量标准,那么就可以避免类似的或等同的产品的重复评估给出过程保障方法的益处是,组织除了维护其认证而进行必要的定期评估之外,可以不必进行其他附加的评估,生产不同的产品这一比较仅对保障方法的可比的有效性、深度和正确性是成立的,并通过称为更客观的第三方所提供的信任就可有理由证明是可能的另外,当组合使用这两个途径时,还必须考虑一些相互协调的问题例如,实现适当过程保障的制造商应耗费一定的资源,为其通过过程保障的过程而实现的产品进行产品评估
5.
1.5过程保障与环境保障过程保障关注产品特定生存周期阶段中所应用的每一过程的定义,而环境保障关注资源以及使用这些资源的语境对使用环境资源的一个产品的信任,来自于对该组织和/或其人员以及其他应用于该产品的资源的信任这一信任可以通过对有关人员和/或组织所使用的标准或好的专业实践之认证来提供,最低的信任等级是主管该产品的人员或组织的声誉依据所提供的应用细节之可比程度,环境保障的有效性一般低于过程保障事实上,组织或人员均可能具有把过程应用于一个产品的一般性知识和能力但并没有证明这些过程已经文档化,已经予以评估或已经予以认可环境保障是最低的保障形式,容易获得可能存在一些情况,如下所述,对于这些情况而言,只有环境保障才是实际可用的保障或是可承担得起的保障——承担不起过程保障或产品保障成本的小型组织,或——供应商不允许或不提供过程保障或产品保障的现成商品COST产品保障与环境保障依据以上的讨论,可以证明保障也存在一个“进展”问题,即如果产品保障是不可“进入的”话,那么过程保障就是“下一个较好的”保障;进而,如果过程保障是不可“进入的”的话,那么剩下的可能性就是环境保障
5.
1.6结论在不承认所给保障途径具有可比性的条件下,其结论可表达为——应为最高的保障需求选择产品保障——通过相关过程的质量保障,过程保障提供了有据的、最合算的保障——对于规模不大的组织,或在产品和/或其生产者不可能进行过程评估和/或产品评估的情况下,必须选择环境保障——般而言,可陈述为参见图3——提升严格性的产品保障,局限于复杂性相对较低的交付件的开发保障而——环境保障主要适于运行保障,其中系统相对复杂而保障相对不太严格开发保障集成保障运行保障严格度••产品保障过程保障•••环境保障•••——复杂度一图3可用方法
5.2保障方法的组合不可避免地,许多用户将涉及多个保障方法或可能涉及ISO/IEC15408和ISO9000,或可能涉及ISO/IEC15408和ISO/IEC21827本指导性技术文件提供一种结构,使用这一结构可记录所涉及的这些保障方法的证据/经验本标准提供一些概念和一种通用语言,以此可描述方法和途径之间的相互影响和相互作用,从而有助于探索可能的组合通过从正在使用的保障途径之外的其它保障途径中接受一些保障元素,即从一些不同的保障途径中组合保障特性的能力,将有助于达到产品和系统的保障例如,如果一个组织已通过ISO/IEC21827等级3的认证,那么就可承认该组织在IS0/IEC15408的模式中,而没有必耍让该组织重新提交已为另一保障途径而提交的证据另外,这还有助于认可人员的工作,因为他们在确定整个系统保障中将具有一些现在可采纳的附加证据通过保障方法的比较,可以了解有关保障组合途径的潜在限制当该组合保障途径基于不同属性时,这一了解关系到如何灵活地交叉这些保障特性从不同的角度和在不同的范围内寻求安全的方法,可以针对具有不同意图的不同用户或不同的组织部门在本指导性技术文件中,没有一种方法可以被认为是一种“综合”安全的方法,即保护现有的IT系统合适地抵御了所有相关的威胁因此在大多数情况下,有必要协同地使用一些方法的组合如果IT供应商和用户以伙伴关系一起努力的话,一个IT系统就可达到一种最理想的安全程度在附录C中,给出了一些显示保障方法组合方面的例子
5.3保障方法的比较可使用两种基本途径来比较第2部分中所列出的那些保障方法的相关价值——特性矩阵,或——成对比较(一对一比较)如果必须对三个以上复杂条目进行相互比较的话(参见图4),那么就比较这些条目所具有的共性随着条目的增多,就越可证明这一途径是不可否认的当然,必要条件是在这些方法中相似性的数量是有一定规模的图4矩阵比较原理就矩阵比较的意图而言,必须开发一张保障特性表因此这一途径的挑战是,建立一张最理想的特性表,适于勾画方法的主要区别GB/Z XXXXX.3—XXXX/1SO/1EC TR15443-3:2007目次前言Ill弓I言IV1范围
11.1意图
11.2应用
11.3适用领域
11.4限制12术语和定义13缩略语34对保障的理解
44.1保障目标的设置
44.2保障方法的应用
74.3保障结果的评估115保障的比较、选择和组合
125.1保障途径的选择
125.2保障方法的组合
145.3保障方法的比较
145.4关注的保障特性156指导
1.1意图本部分的意图是,为保障机构选择合适类型的ICT信息通信技术保障方法提供指导,并为特定环境铺设分析特定保障方法的框架
1.2应用本部分可使用户把特定保障需求和/或典型保障情况与一些可用的保障方法所提供的一般性表现特征相匹配
1.3适用领域本部分的指导适用于具有安全需求的ICT产品和ICT系统的开发、实现及运行
1.4限制安全需求可能是复杂的,保障方法是各式各样的,并且组织的资源和文化之间是有很大差异的因此,本部分所给出的建议是定性的和概括性的,可能需要用户自己来分析第2部分中哪些方法最适合自己特定的交付件和组织的安全需求2术语和定义下列术语和定义适用于本文件
2.1资产asset对组织有价值的任何东西评估assessment系统化地检查一个实体有能力满足其规定需求的程度;当针对一个交付件时,评估是评价evaluation的同义词[ISO/IEC14598-11o
2.23评估方法assessment method为了确定一个交付件是否可以接受或发布,把特定文档化的评估准则应用于一个交付件的动作保障机构assurance author i ty受托对一个交付件的保障做出有关决定(即选择,规格说明,接受,增强)的人和组织,其中,这些决定最终可导致建立该交付件的信心注在特定的模式和组织中,术语“保障机构”可以是不同的,例如“评价机构”保障管理者assurance administrator负责选择、实现或接受交付件的人保障目标assurance goaI通过应用正式的和非正式的评估活动,要予满足的整个安全期望
2.7保障关注assurance concern保障机构的一个保障小组所追求的一般类型的保障目的注在本部分中,使用“保障关注”的目的是,为给予保障指南的那组用户,建立相关的分析和结论
2.8交付件de I i verabI eIT安全产品、系统、服务、过程,或特别地作为保障评估对象的环境因素(即人员、组织)注1一种对象可以是IS0/IEC15408中定义的保护轮廓(PP)或安全目标(ST)注2当用于ISO9000标准族时,服务是一类产品和“产品和/或服务”注3就本部分的意图,并为了与ISO9000中的用法类似,在整个文档中出现交付件的地方,一般均使用术语“产品”
2.9环境env ironment生存周期过程执行的环境(即人、支持设施和其它资源)及所关联的环境保障特征(如声誉,认证)注在本标准中,环境保障相对于产品保障和过程保障
2.10信息安全管理体系i nformati onsecur ity managementsystem ISMS整个管理体系的一部分,该部分基于风险途径,建立、实现、运行、监视、维护和改进信息安全
2.11方法method为了获得可重复的结果,以系统化和可跟踪的样式,按计划执行某件事情的方式
2.12度量metr ic用于测量的定量化尺度和方法
2.13过程能力process capabiIity一个过程达到所要求目标的能力
2.14产品productIT安全产品、系统、服务注针对本部分的意图,类似与ISO9000有关产品一词的用法,在整个标准中,术语“产品”将替代交付件这一术语
2.15残余风险res idua Irisk风险处置之后仍然存在的风险
2.16风险评估risk assessment风险分析和评价的整个过程注1风险评价是一个把估算的风险与给定的风险准则进行比较的过程,目的是为了确定风险的严重性注2就本部分的意图而言,风险评估、风险分析以及“威胁-风险-分析”概括地称为风险评估
2.17风险处置risk treatment为了修改风险,选择并实现按一定测度进行测量的过程
2.18安全secur ity与定义、实现和维护保密性、完整性、可用性、抗抵赖性、可核查性、真实性和可靠性等有关的所有方面
2.19安全目的secur ity objecti ve意在抵御已标识的威胁和/或满足已标识的组织安全策略和假定的陈述
2.20安全策略secur itypol icy一个组织部门内的规则集,规定这一部门如何在其法律和文化的语境下使其资产的管理符合所描述的组织目的
2.21阶段stage交付件生存周期中一个由过程和活动组成的时段3缩略语COBIT有关信息和相关技术的控制目的,一种ISACA的方法Control ObjectivesforInformation andrelated Technology,a methodof ISACADA开发保障Developmental AssuranceIA集成保障Integration AssuranceISACA信息系统审计与控制联盟Information SystemsAudit andControl AssociationISSEA信息系统安全工程联盟International SystemsSecurity EngineeringAssociation0A运行保障Operation AssuranceST安全目标Security Target,4对保障的理解保障的目的是为了提供一种信心,即一个产品在一个给定的语境中将安全运行这一章针对其中一些有关的基本问题进行了相应的考虑,而在本部分的其余章节中,给出这些问题的详细分析和指导按第1部分和第2部分中所给出的概念定义,这意味着产品满足一个给定的保障目标这一目标必须以一种相当正式的方式予以建立用户必须了解残余风险信心将是通过使用并解释保障结果而获得的,其中保障结果或是对应用的保障方法已经是可用的,或是通过应用保障方法而获取的因此,保障方法需要很好地予以选择和使用大量方法是可使用的,并在第2部分中给出了许多保障方法有关这些方法的应用,在
4.2中给出了其中一些基本说明用户的保障结果可以表达为各种各样的复杂程度这一复杂性可以指导保障方法所关联的严格程度(参见
4.
2.1)、应用范围(参见
4.
2.2),以及所涉及的生存周期阶段(参见
4.
2.3)特别注意的是,要对保障结果进行评估为了获得较大信心,可能需要正式的评估或认证(参见
4.3)
4.1保障目标的设置保障目标应依赖于要满足的保障需求——产品供应商可能具有一些一般性的保障需求,其意图是为了满足多个用户(即产品、系统或服务的用户群)的特定需求——产品的用户一般都具有一些非常特殊的保障需求,这样的保障需求通常依赖于其组织的特定安至束出台以下给出有关保障目标设置的说明,并把它联系到合适的保障供给和使用注1在附录A.1的例子中,区分了硬件供应商、软件供应商、网络提供方、服务器运行方、内容提供方,以及用户方-企业在这一例子中,明确指出供应商属于保障提供方,而用户组织属于得到保障一方-保障的用户,而其他的既是保障提供方又是得到保障的一方注2一个组织可能需要把来自多个保障源的保障结果组合为一个一致的、复合的保障结果这是一个重要方面,在本部分的
5.3和中将谈及之当多个保障结果可用于一个保障的用户,或当一个保障提供方打算使用两个或多个保障方法时,就出现了这一方面的问题
4.
1.1和
4.
1.2通常与开发、集成期间的产品保障相联系的这与保障关注的不同在第六章中讨论之注3重要的是,要理解一个产品的运行通常受控于用户组织的责任和监督,即使安全服务与服务提供方签订了子合同因此,
4.L1和
4.L2并不直接可用于运行保障(0A)o供给的保障按照提供产品、系统或服务组织的商业观点,合适的保障方法应基于预期的用户或用户群及其组织规模和专业知识必须按照这些不同来剪裁保障特别地,如果是针对一个用户群,那么保障就必须具有充分的一般性通常,提供保障是应对市场的一个重要的因素或是涉及成本的一个重要的因素因此,提供保障的组织就必须依据其成本考虑其效益由上可见,在做出提供保障这一决策的过程中,首先要标识以下两个步骤——用户为什么想要为保障买单;——用户建立保障想要达到什么意图采用这些步骤,可以进一步导出客户的保障需求,并最终导出可用的保障方法,如图1所示图1保障供给其结果,保障通常可像表1所表达的那样予以供给表1供给的保障类型供给的保障针对的客户客户的保障需求要求的保障严格程度已通过的保障最终用户内容标记;低对最终用户是有意义的并且是可认可的市场上的保障一般性的用户群标签、标记,印记;低标记引用了一般的保障需要;是以非常简洁的或封装的方式表达的对最终用户是有意义的并且是可认可的,即认可的“质量标签”内部保障内部客户保障陈述的独有形式;为组织内部提供任意的,并基于信任外部保障特定用户群标记包含了扩展的论据和资料;可有受限高地发行小型组织的保障小型组织标签或商标;中期望通过简介来创建信任;对最终用户是有意义的并且是可认可的,即认可的“质量标签”大型组织的保障大型组织详细的保障陈述高强制性保障特殊复杂的组织证书或符合意图的陈述高。
个人认证
优秀文档
获得点赞 0
