ISSN 2305-5626. Вестник МГТУ им. Н.Э. Баумана: электронное издание. 2013
4
На стадии планирования решают задачи получения и анализа ис-
ходных данных для проведения оценки. На основании выполненного
анализа формируются множества
{
}
( )
( )
( )
( )
1 2
,
, ...,
i
i
i
i
i
n
E e e
e
=
действий
оценщика и соответствующих им шагов оценивания.
Оценку СЗИ выполняют с использованием сформированного
набора шагов оценивания. Анализ и оформление результатов оценки
предполагают сравнение фактических и эталонных результатов. Про-
анализировав результаты, получаем множество упорядоченных пар
вида
( )
( )
( , ( ,
))
Σ
i
i
j
S
j
e F e
. Для ОО
∑
декларируется соответствие компо-
ненте требования доверия
c
i
, если в ходе выполнения множества дей-
ствий оценщика
{
}
( )
( )
( )
( )
1 2
,
, ...,
i
i
i
i
i
n
E e e
e
=
для каждого получены поло-
жительные результаты:
( )
j 1
( ,
)
Σ
i
n
i
S
j
i
F e n
=
=
∑
.
По результатам проведения оценки оформляется технический отчет.
Для ОО декларируется соответствие требованиям доверия к безопасно-
сти информации
{
}
1 2
, ,...,
,
n
C c c c
=
если
( )
1
[1, ]
( ,
)
.
Σ
i
n
i
S
j
i
j
i
n F e
n
=
∀ ∈
=
∑
Формирование функциональных требований и требований
доверия к DLP-системам.
Согласно модели «Общих критериев»,
объект оценки (в данном случае DLP-система) рассматривается не
сам по себе, а в контексте окружающей среды. При подготовке к
оценке соответствия предполагается, что должны быть формализова-
ны следующие так называемые
аспекты среды ОО
:
–
предположения безопасности
, содержащие аспекты безопасно-
сти среды, в которой ОО будет использоваться или предполагается к
использованию;
–
угрозы безопасности
, включающие все те угрозы активам, про-
тив которых требуется защита средствами ОО или его среды;
–
политики безопасности
, идентифицирующие и при необходи-
мости объясняющие все положения политики безопасности органи-
зации или правила, которым должен подчиняться ОО.
На основании угроз и политик при учете сформулированных
предположений безопасности формируют
цели безопасности
для ОО
и среды, направленные на обеспечение противостояния угрозам и
выполнение положений политики безопасности.
Для достижения поставленных целей к ОО предъявляют
требо-
вания безопасности
.
В ИСО 15408 (в частях 2 и 3) фактически представлены каталоги
требований безопасности следующих типов: