ГОСТ Р 54581-2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

Терминология ГОСТ Р 54581-2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы оригинал документа:

2.6 аргумент доверия (assurance argument): Совокупность структурированных утверждений о доверии, поддерживаемых свидетельством и обоснованием, которые наглядно демонстрируют то, как были удовлетворены требования доверия.

Определения термина из разных документов: аргумент доверия

2.1 аттестация (accreditation): Процедура, посредством которой официальный орган формально признает, утверждает и принимает остаточный риск:

a) для эксплуатации автоматизированной системы в определенном безопасном режиме с использованием заданного набора мер безопасности.

[адаптировано из AGCA];

b) того, что орган или лицо, обеспечивающее безопасность, достаточно компетентны для выполнения конкретных задач

[адаптировано из Руководства 2 ИСО/МЭК] и

c) того, что услуга по обеспечению безопасности соответствует предопределенной среде применения.

Определения термина из разных документов: аттестация

2.29 безопасность (security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности.

Примечание - Считаются защищенными до тех пор, пока их пользователи могут быть уверенными в их должном функционировании. Защищенность продукта, системы или услуги обычно рассматривается в контексте оценки фактических или ожидаемых угроз.

а) способность программного продукта защитить информацию и данные так, чтобы неуполномоченные лица или системы не могли их считать или модифицировать, а уполномоченные - не получали бы отказ в доступе к ним.

[ИСО/МЭК 9126-1]

Определения термина из разных документов: безопасность

2.36 гарантийное обязательство (warranty): Услуга (сервис) безопасности, связанная(ый) с корректировками и улучшениями в части эксплуатации (развертывания, функционирования или доставки) оцениваемого объекта, если они не соответствуют его политике безопасности.

Определения термина из разных документов: гарантийное обязательство

2.21 гарантия (guarantee): См. определение «гарантийное обязательство» в 2.36.

Определения термина из разных документов: гарантия

2.4 доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.

а) основание для уверенности в том, что сущность отвечает своим целям безопасности. [ИСО/МЭК 15408-1]

Определения термина из разных документов: доверие

2.26 доверие к процессу (process assurance): Доверие, основанное на результатах оценки процесса.

Определения термина из разных документов: доверие к процессу

2.35 жизненный цикл системы (system life cycle): Развитие рассматриваемой системы во времени от замысла до списания.

[ИСО/МЭК 15288]

Определения термина из разных документов: жизненный цикл системы

2.11 метод обеспечения доверия (assurance method): Общепризнанная спецификация получения воспроизводимых результатов обеспечения доверия.

Определения термина из разных документов: метод обеспечения доверия

2.8 орган обеспечения доверия (assurance authority): Лицо или организация, уполномоченные принимать решения (например, по выбору, спецификации, принятию, контролю за исполнением), связанные с обеспечением доверия к оцениваемому объекту, что однозначно приводит к формированию уверенности в безопасности данного объекта.

Примечание - В конкретных системах и организациях понятие «орган обеспечения доверия» может иметь другое значение, например, «орган оценки».

Определения термина из разных документов: орган обеспечения доверия

2.19 оцениваемый объект (deliverable): Продукт, система, услуга, процесс безопасности ИТ или составной элемент среды функционирования (связанный, например, с персоналом, организацией) или другой объект, поставляемый для оценки доверия. Таким объектом может быть профиль защиты или задание по безопасности, определенные в ИСО/МЭК 15408-1.

Примечание - В ИСО 9000:2000 услуга (сервис) считается одним из типов продукта и в серии стандартов ИСО 9000 используется сочетание «продукт и/или услуга».

Определения термина из разных документов: оцениваемый объект

2.20 оценивание (evaluation): Оценка оцениваемого объекта на соответствие установленным критериям (адаптировано из ИСО/МЭК 15408-1).

а) систематическое оценивание (оценивание качества) степени, в которой логический объект способен выполнять установленные требования. [ИСО/МЭК 14598-1]

Определения термина из разных документов: оценивание

2.3 оценка (assessment): Верификация оцениваемого объекта доверия с помощью соответствующего подхода с целью установления соответствия стандарту и определения степени (уровня) доверия.

Определения термина из разных документов: оценка

2.30 оценка безопасности (security assessment): Верификация соответствия защищенного оцениваемого объекта требованиям стандарта безопасности, используя соответствующий метод обеспечения безопасности и определения доверия к безопасности.

а) последний этап процесса оценки продукта.

[ИСО/МЭК 14598-1]

Определения термина из разных документов: оценка безопасности

2.7 оценка доверия (assurance assessment): Верификация и фиксирование всех видов и результатов обеспечения доверия, связанных с оцениваемым объектом (приобщенных к аргументу доверия).

Определения термина из разных документов: оценка доверия

2.2 подход (approach): Метод или определенные действия (процедуры), используемые или предпринимаемые для выполнения задания или решения задачи.

Определения термина из разных документов: подход

2.5 подход к обеспечению доверия (assurance approach): Группирование методов обеспечения доверия в соответствии с исследуемым аспектом.

Определения термина из разных документов: подход к обеспечению доверия

2.33 правообладатель (stakeholder): Сторона, имеющая некоторые права, акции, а также активы, подверженные риску по отношению к оцениваемому объекту или их характеристикам, отвечающим потребностям и ожиданиям этой стороны.

а) сторона, владеющая правом, долей или активом в системе с характеристиками, отвечающими потребностям и ожиданиям этой стороны.

[ИСО/МЭК 15288]

Определения термина из разных документов: правообладатель

2.24 предыстория (pedigree): Неформальное признание того, что поставщик обеспечивает соответствующую воспроизводимость оцениваемых объектов, которые удовлетворяют требованиям их политики безопасности или функционируют в соответствии с заявлением поставщика (предыстория является фактором среды, связанным с поставщиком или оцениваемым объектом).

Определения термина из разных документов: предыстория

2.27 продукт (product) - См. определение термина «оцениваемый объект».

Определения термина из разных документов: продукт

2.22 продукт безопасности ИТ (IT security product): Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.

[ИСО/МЭК 15408-1]

Определения термина из разных документов: продукт безопасности ИТ

2.25 процесс (process): Упорядоченная совокупность действий, использующая ресурсы для преобразования входных данных в выходные.

Определения термина из разных документов: процесс

2.37 рабочая продукция (work product): Все элементы (то есть документы, отчеты, файлы, данные и т. д.), полученные в ходе выполнения любого процесса по разработке и поставке оцениваемого объекта.

[SSE-CMM (ИСО/МЭК 21827)]

а) результат выполнения совокупности действий, использующих ресурсы для преобразования входных данных в выходные. [ИСО 9001]

Определения термина из разных документов: рабочая продукция

2.13 результат обеспечения доверия (assurance result): Документированное числовое или количественное утверждение об обеспечении доверия, относящееся к какому-либо оцениваемому объекту.

Определения термина из разных документов: результат обеспечения доверия

2.16 свидетельство доверия (assurance evidence): Документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчеты (обоснования) в поддержку утверждения о доверии.

Определения термина из разных документов: свидетельство доверия

2.9 свидетельство обеспечения доверия (assurance evidence): Результаты анализа обеспечения доверия к объекту (включая итоговые отчеты или другие обоснования), поддерживающие утверждение о доверии.

Определения термина из разных документов: свидетельство обеспечения доверия

2.17 сертификация (certification): Процедура выдачи официального подтверждения о соответствии оцениваемого объекта установленным требованиям. Сертификация может проводиться третьей стороной.

[адаптировано из Руководства 2 ИСО/МЭК]

a) выдача официального подтверждения результатов оценки и правильности применения критериев оценки.

[Стандарт ITSEC]

b) процесс сертификации является независимой проверкой результатов оценивания, приводящей к получению окончательного сертификата или утверждения.

[ИСО/МЭК 15408-1]

c) всесторонняя оценка технических и нетехнических характеристик безопасности системы информационных технологий, осуществленная в поддержку сертификации, которая устанавливает степень соответствия системы установленной политике безопасности.

[AGCA]

Определения термина из разных документов: сертификация

2.34 система (system): Специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации.

[ИСО/МЭК 15408-1]

а) комбинация взаимодействующих компонентов, организованных для достижения одной или нескольких поставленных целей.

[ИСО/МЭК 15288]

Примечания

1 Система может рассматриваться как продукт или совокупность услуг, которые она обеспечивает.

[ИСО/МЭК 15288]

2 На практике интерпретация данного зачастую уточняется с помощью ассоциативного существительного, например, «система самолета». В некоторых случаях слово «система» допускается заменять, например, контекстным синонимом «самолет», хотя это может впоследствии затруднить восприятие системных принципов.

[ИСО/МЭК 15288]

Определения термина из разных документов: система

2.14 система обеспечения доверия (assurance scheme): Организационно-правовая структура, в рамках которой метод обеспечения доверия применяется органом обеспечения доверия в пределах определенного сообщества или организации.

а) организационно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют требования ИСО/МЭК 15408. [ИСО/МЭК 15408-1]

Определения термина из разных документов: система обеспечения доверия

2.28 система оценки (sheme): Совокупность правил, определяющих условия среды, необходимые для проведения оценки, включая критерии и методологию.

[Адаптировано из ИСО/МЭК 18045 (Общая методология оценки)]

Определения термина из разных документов: система оценки

2.23 стадия жизненного цикла (life cycle stage): Период жизненного цикла оцениваемого объекта, связанный с его определенным состоянием.

а) период в пределах жизненного цикла системы, относящийся к состоянию системного описания или непосредственно к самой системе. [ИСО/МЭК 15288]

Определения термина из разных документов: стадия жизненного цикла

2.15 стадия обеспечения доверия (assurance stage): Стадия жизненного цикла оцениваемого объекта, на которой используется заданный метод обеспечения доверия. При обеспечении общего доверия к оцениваемому объекту учитываются результаты реализации методов обеспечения доверия, применяемых на всех стадиях его жизненного цикла.

Определения термина из разных документов: стадия обеспечения доверия

2.18 уверенность (confidence): Убежденность в том, что оцениваемый объект будет функционировать в соответствии с заданным или установленным порядком (то есть корректно, надежно, эффективно, в соответствии с политикой безопасности).

Определения термина из разных документов: уверенность

2.10 уровень доверия (assurance level): Степень доверия, соответствующая специальной шкале, применяемой в методе обеспечения доверия.

Примечания

1 Уровень доверия не измеряется количественными показателями.

2 Степень доверия обычно определяется усилиями, затраченными на выполнение определенных действий.

Определения термина из разных документов: уровень доверия

2.32 услуга (service): Связанные с обеспечением безопасности процесс или задача, выполняемый или решаемая оцениваемым объектом, организацией или конкретным лицом.

Определения термина из разных документов: услуга

2.12 характеристика обеспечения доверия (assurance property): Параметр метода обеспечения доверия, способствующий получению результатов доверия.

Определения термина из разных документов: характеристика обеспечения доверия

2.31 элемент безопасности (security element): Неделимое требование безопасности.

Определения термина из разных документов: элемент безопасности