Присоединяйтесь!
Зарегистрированных пользователей портала: 505 898. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. РУКОВОДСТВО ПО РАЗРАБОТКЕ ПРОФИЛЕЙ ЗАЩИТЫ И ЗАДАНИЙ ПО БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК TO 15446-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 526-ст)

Дата документа18.12.2008
Статус документаДействует
МеткиСтандарт · Приказ · Гост · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Руководство по разработке профилей защиты и заданий по безопасности

 

Information technology. Security techniques. Guide for the production of protection profiles and security targets

 

ГОСТ Р ИСО/МЭК TO 15446-2008

 

Дата введения - 2009-10-01

 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ") на основе собственного аутентичного перевода стандарта, указанного в пункте 5
    2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 526-ст
    4 ВВЕДЕН ВПЕРВЫЕ
    5 Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 15446:2004 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (ISO/IEC TR 15446:2004 "Information technology - Security techniques - Guide for the production of Protection Profiles and Security Targets").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении G
 

Введение

 
    Предназначение профиля защиты (ПЗ) состоит в том, чтобы изложить проблему безопасности для определенной совокупности систем или продуктов информационных технологий (ИТ), далее - "объекты оценки" (ОО), и сформулировать требования безопасности для решения данной проблемы. При этом ПЗ не регламентирует то, как данные требования будут выполнены, обеспечивая таким образом независимое от реализации описание требований безопасности.
    Профиль защиты включает в себя взаимосвязанную информацию, имеющую отношение к безопасности ИТ, в том числе:
    a) формулировку потребности в безопасности, соответствующую проблеме безопасности и выраженную в терминах, ориентированных на пользователей ИТ;
    b) описание среды безопасности ОО, уточняющее формулировку потребности в безопасности с учетом порождаемых средой угроз, которым нужно противостоять, политики безопасности организации, которая должна выполняться, и сделанных предположений;
    c) цели безопасности ОО, основанные на описании среды безопасности и предоставляющие информацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности. Предназначение целей безопасности заключается в том, чтобы снизить риск и обеспечить поддержание политики безопасности организации, в интересах которой ведется разработка ПЗ;
    d) функциональные требования безопасности и требования доверия к безопасности, направленные на решение проблемы безопасности в соответствии с описанием среды безопасности ОО и целями безопасности для ОО и ИТ-среды. Функциональные требования безопасности выражают то, что должно выполняться ОО и ИТ-средой для удовлетворения целей безопасности. Требования доверия к безопасности определяют степень уверенности в правильности реализации функций безопасности ОО;
    e) обоснование функциональных требований и требований доверия к безопасности, являющихся надлежащими для удовлетворения сформулированной потребности в безопасности. Посредством целей безопасности должно быть показано, что необходимо сделать для решения проблем безопасности, имеющихся в описании среды безопасности ОО. Функциональные требования безопасности и требования доверия к безопасности должны соответствовать целям безопасности.
    Задание по безопасности (ЗБ) во многом похоже на ПЗ, но содержит дополнительную информацию, ориентированную на конкретную реализацию продукта или системы ИТ и разъясняющую, каким образом требования ПЗ реализуются в конкретном продукте или системе. ЗБ содержит следующую дополнительную информацию, отсутствующую в ПЗ:
    a) краткую спецификацию ОО, которая представляет функции безопасности и меры доверия к безопасности для конкретного ОО;
    b) дополнительный раздел, который включается в ЗБ в случаях, если утверждается о соответствии ЗБ одному или более ПЗ;
    c) дополнительные свидетельства в разделе "Обоснование", устанавливающие, что краткая спецификация ОО обеспечивает соответствие требований безопасности, а любые утверждения о соответствии ПЗ - действительны.
    Профиль защиты может использоваться для определения типового набора требований безопасности, которым должны соответствовать один или более продуктов или которым должны соответствовать системы ИТ, предназначенные для использования в определенных целях. Профиль защиты может применяться к определенному виду продуктов (например, операционным системам, системам управления базами данных, смарт-картам, межсетевым экранам и т.д.) или к совокупности продуктов, образующих систему (например, к инфраструктуре открытых ключей, виртуальным частным сетям).
    Поставщики продукта ИТ в соответствии с потребностями безопасности, сформулированными в ПЗ, могут разработать ЗБ, которое будет демонстрировать то, как их продукт ИТ соответствует потребностям безопасности. Тем не менее, соответствие задания по безопасности профилю защиты не является обязательным; например, в ЗБ могут быть определены функции безопасности, заявляемые разработчиком продукта ИТ и представляющие собой основу для оценки продукта ИТ.
    Также в ПЗ могут быть определены требования безопасности для конкретной системы ИТ. В этом случае ЗБ разрабатывается на основе ПЗ. Таким образом, ПЗ и ЗБ могут использоваться как средства взаимодействия между организацией, осуществляющей руководство разработкой системы, организацией, заинтересованной в этой системе, и организацией, ответственной за создание системы (далее - разработчик). Содержание ПЗ и ЗБ может быть согласовано между данными сторонами. Оценка конкретной системы ИТ на соответствие ЗБ, которое в свою очередь соответствует ПЗ, может являться частью процесса приемки системы ИТ.
 

1 Область применения

 
    Настоящий стандарт представляет собой руководство по разработке профилей защиты и заданий по безопасности продуктов и систем ИТ в соответствии с комплексом стандартов ИСО/МЭК 15408 (общие критерии).
    Руководство предназначено для разработчиков и оценщиков профилей защиты (ПЗ) и заданий по безопасности (ЗБ), а также может представлять интерес для пользователей ПЗ и ЗБ, позволяя им понять, чем руководствовались авторы ПЗ и ЗБ при их разработке, и на какие части ПЗ и ЗБ следует обратить особое внимание.
    Предполагается, что пользователи настоящего стандарта хорошо знакомы с требованиями ИСО/МЭК 15408-1 и, в частности, с приложениями В и С к нему, в которых приведено описание ПЗ и ЗБ. Авторам ПЗ и ЗБ, конечно, следует быть хорошо знакомыми с другими стандартами комплекса ИСО/МЭК 15408, включая введение, например, с парадигмой функциональных требований, описанной в ИСО/МЭК 15408-2 (подраздел 1.3).
    Настоящий стандарт представляет собой информационный технический отчет ИСО, предназначенный для использования только в качестве руководства. По своему содержанию и структуре его не следует рассматривать как стандарт для оценки ПЗ и ЗБ. Предполагается, что настоящий стандарт полностью соответствует ИСО/МЭК 15408; тем не менее, в случае любого несоответствия между настоящим стандартом и ИСО/МЭК 15408 последнему в качестве нормативного следует отдавать предпочтение.
    В настоящем стандарте не рассматриваются такие вопросы, как регистрация ПЗ и связанные с этим задачи - обращение с защищаемой интеллектуальной собственностью (например, патентами) в ПЗ. Информацию по регистрации ПЗ см. в [1].
 

2 Нормативные ссылки

 
    В настоящем документе использованы ссылки на следующие международные стандарты:
    ИСО/МЭК 2382-8:1998 Информационная технология - Словарь - Часть 8: Безопасность
    ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
    ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
    ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - Часть 3. Требования доверия к безопасности
 

3 Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 15408-1.
 

4 Сокращения

 
    В настоящем стандарте применяются сокращения, приведенные в ИСО/МЭК 15408-1, подраздел 2.3, а также следующие сокращения:
    ПБОр(ОЭР) - политика безопасности организации;
    СУБД (DBMS) - система управления базами данных;
    ТДБ (SAR) - требование доверия к безопасности;
    ФТБ (SFR) - функциональное требование безопасности;
    ЗП (RFP) - запрос предложения;
    KCO(TSS) - краткая спецификация ОО;
    ТДС(ТТР) - третья доверенная сторона.
 

5 Цель

 
    Настоящий стандарт представляет собой детальное руководство по разработке различных частей ПЗ или ЗБ и дает исчерпывающее представление об их взаимосвязи. Наиболее важные аспекты настоящего стандарта представлены в приложении А в виде памятки (или резюме), что в значительной степени облегчает знакомство и работу со стандартом.
    В остальных приложениях приводятся примеры, иллюстрирующие применение настоящего стандарта.
    Разделы 1 - 4 содержат вводные и ссылочные материалы.
    Раздел 5 содержит цели и направленности настоящего стандарта.
    Раздел 6 содержит краткий обзор ПЗ и ЗБ, который включает в себя оглавления и отображает содержание, а также потенциальных пользователей различных частей ПЗ или ЗБ. Данный раздел содержит, а также комментирует соотношение между ПЗ и ЗБ и проблемы, связанные с процессом их разработки.
    В разделе 7 более глубоко рассматриваются содержащие описание части ПЗ и ЗБ, включая введение ПЗ и ЗБ, описание объекта оценки (в большей степени ориентированные на пользователей), а также замечания по применению ПЗ (в большей степени ориентированные на авторов ЗБ и разработчиков ОО).
    Разделы 8 - 13 придерживаются той структуры ПЗ и ЗБ, которая установлена в ИСО/МЭК 15408-1 (см. приложение В, рисунок В.1, приложение С, рисунок С.1).
    Раздел 8 представляет собой руководство по определению среды безопасности ОО в ПЗ и ЗБ в виде исходных "потребностей в безопасности" ОО.
    Раздел 9 представляет собой руководство по определению и спецификации целей безопасности в ПЗ или ЗБ в соответствии со сформулированными ранее исходными "потребностями в безопасности". Оба этих раздела представляют интерес не только для авторов ПЗ и ЗБ, но также и для других лиц - пользователей ПЗ и ЗБ.
    Раздел 10 представляет собой руководство по выбору и спецификации требований безопасности информационных технологий в ПЗ. В данном разделе подробно описывается использование функциональных компонентов и компонентов доверия к безопасности в соответствии с требованиями стандартов серии ИСО/МЭК 15408, а также компонентов, не предусмотренных стандартами серии ИСО/МЭК 15408, для обеспечения более точного определения требований безопасности ИТ.
    Разделы 11 и 12 представляют собой руководство по разработке ЗБ в части краткой спецификации ОО и утверждений о соответствии ПЗ. Разделы 10 - 13 будут в основном представлять интерес для авторов и оценщиков ПЗ и ЗБ.
    Раздел 13 представляет собой руководство по составлению и представлению разделов "Обоснование" в ПЗ и ЗБ.
    В разделе 14 рассматриваются проблемы разработки ПЗ и ЗБ для сложных ОО, то есть ОО, состоящих из двух или более ОО-компонентов, для каждого из которых имеются собственные ПЗ и ЗБ.
    Раздел 15 представляет собой руководство по формированию функциональных пакетов и пакетов доверия к безопасности, определенных таким образом, чтобы эти пакеты можно было многократно использовать при разработке различных ПЗ и ЗБ. Пакет при этом рассматривается как потенциально полезный инструмент, предназначенный для облегчения процесса разработки ПЗ и ЗБ.
    Как упоминалось выше, в приложении А руководство вкратце представлено в виде инструкции.
    Примеры угроз, политики безопасности организации, предположений и целей безопасности представлены в приложении В, которое также устанавливает соответствие между общими функциональными требованиями и соответствующими функциональными компонентами из стандартов серии ИСО/МЭК 15408. Предполагается, что эти примеры являются достаточно широкомасштабными, но не исчерпывающими.
    Приложение С представляет собой руководство, имеющее отношение к ПЗ и ЗБ для ОО, которые реализуют криптографические функциональные возможности.
    Возможности применения настоящего стандарта при разработке ПЗ и ЗБ для различных типов ОО представлены в приложениях D - F. Так, в приложении D рассмотрена возможность использования настоящего стандарта при разработке ПЗ и ЗБ для межсетевых экранов, в приложении Е для СУБД, в котором подчеркивается особая важность решения вопросов, связанных с ИТ-средой. В приложении F рассматриваются вопросы, связанные с разработкой ПЗ для третьей доверенной стороны (ТДС).
 

6 Краткий обзор профилей защиты и заданий по безопасности

 

6.1 Введение

 
    В настоящем разделе приводится краткий обзор и содержание ПЗ и ЗБ. Рассматриваются взаимосвязи между ПЗ и ЗБ и процесс их разработки (см. также ИСО/МЭК 15408-1, приложения В и С).
 

6.2 Содержание профилей защиты и заданий по безопасности

 
    Требуемое содержание ПЗ и ЗБ приведено в ИСО/МЭК 15408-1, приложение В.
    Пример содержания ПЗ представлен ниже:
    1 Введение ПЗ
    1.1 Идентификация ПЗ
    1.2 Аннотация ПЗ
    2 Описание ОО
    3 Среда безопасности ОО
    3.1 Предположения безопасности
    3.2 Угрозы
    3.3 Политика безопасности организации
    4 Цели безопасности
    4.1 Цели безопасности для ОО
    4.2 Цели безопасности для среды
    5 Требования безопасности ИТ
    5.1 Функциональные требования безопасности ОО
    5.2 Требования доверия к безопасности ОО
    5.3 Требования безопасности для ИТ-среды
    6 Замечания по применению
    7 Обоснование
    7.1 Обоснование целей безопасности
    7.2 Обоснование требований безопасности.
    В разделе "Введение ПЗ" идентифицируется ПЗ и приводится его аннотация в форме, наиболее подходящей для включения в каталоги и реестры ПЗ. Данный раздел ПЗ более подробно рассматривается в разделе 7 настоящего стандарта.
    В раздел "Описание ОО" включают сопроводительную информацию об ОО (или типе ОО), предназначенную для пояснения его назначения и требований безопасности.
    В раздел ПЗ "Среда безопасности ОО" включают описание аспектов среды безопасности ОО, которые должны учитываться для объекта оценки, в частности детальное описание предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), и ПБОр, которой должен соответствовать ОО. Этот раздел ПЗ более подробно рассмотрен в разделе 8.
    В раздел ПЗ "Цели безопасности" включают краткое изложение предполагаемой реакции на аспекты среды безопасности как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не ИТ-мерами в пределах среды ОО. Данный раздел ПЗ более подробно рассмотрен в разделе 9.
    В раздел ПЗ "Требования безопасности ИТ" включают функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где возможно, функциональных компонентов и компонентов доверия к безопасности в соответствии с ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Раздел ПЗ "Требования безопасности ИТ" более подробно рассмотрен в разделе 10.
    В раздел ПЗ "Замечания по применению" допускается включать любую дополнительную информацию, которую разработчик ПЗ считает полезной. Отметим, что замечания по применению могут быть распределены по соответствующим разделам ПЗ. Раздел ПЗ "Замечания по применению" более подробно рассмотрен в разделе 7.
    В разделе ПЗ "Обоснование" демонстрируется то, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ и соответствующий ОО учитывает идентифицированные аспекты среды безопасности. Раздел ПЗ "Обоснование" более подробно рассмотрен в разделе 12.
    Существует также целый ряд необязательных разделов и подразделов, которые могут включаться в ПЗ. Возможны разные уровни детализации некоторых подразделов. Раздел "Обоснование" может быть оформлен в виде отдельного документа. На практике дополнительные разделы могут быть необходимы для предоставления полезной информации, например:
    a) раздел "Введение ПЗ" может включать в себя подраздел, описывающий организацию ПЗ, а также ссылки на другие ПЗ и другие документы;
    b) раздел "Среда безопасности ОО" может включать в себя отдельные подразделы для различных доменов в ИТ-среде для ОО;
    c) раздел "Требования безопасности ИТ" может быть расширен за счет включения, где необходимо, требований безопасности для не ИТ-среды.
    В случае если подраздел не используется (например, политика безопасности организации, требования безопасности ИТ для среды ОО), необходимо включить в ПЗ соответствующее пояснение.
    Содержание ЗБ приведено в ИСО/МЭК 15408-1, Приложение С. Пример содержания ЗБ представлен в таблице 2.
    В разделе "Введение ЗБ" идентифицируется ЗБ и ОО (включая номер версии) и приводится аннотация ЗБ в форме, наиболее подходящей для включения в перечень оцененных (сертифицированных) продуктов ИТ. Раздел "Введение ЗБ" более подробно рассмотрен в разделе 7.
    В раздел ЗБ "Описание ОО" включают сопроводительную информацию об ОО, предназначенную для пояснения его назначения и требований безопасности. Раздел ЗБ "Описание ОО" должен также включать в себя описание конфигурации, в которой ОО подлежит оценке. Раздел ЗБ "Описание ОО" более подробно рассмотрен в разделе 7.
    В раздел ЗБ "Среда безопасности ОО" включают описание аспектов среды безопасности ОО, которые должны учитываться объектом оценки, в частности, предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), ПБОр, которой должен соответствовать ОО. Раздел ЗБ "Среда безопасности ОО" более подробно рассмотрен в разделе 8.
    Пример содержания задания по безопасности представлен ниже:
    1.1 Идентификация ЗБ
    1.2 Аннотация ЗБ
    2 Описание ОО
    3 Среда безопасности ОО
    3.1 Предположения безопасности
    3.2 Угрозы
    3.3 Политика безопасности организации
    4 Цели безопасности
    4.1 Цели безопасности для ОО
    4.2 Цели безопасности для среды ОО
    5 Требования безопасности ИТ
    5.1 Функциональные требования безопасности ОО
    5.2 Требования доверия к безопасности ОО
    5.3 Требования безопасности для ИТ-среды
    6 Краткая спецификация ОО
    6.1 Функции безопасности ОО
    6.2 Меры обеспечения доверия к безопасности
    7 Утверждения о соответствии ПЗ
    7.1 Ссылка на ПЗ
    7.2 Уточнение ПЗ
    7.3 Дополнение ПЗ
    8 Обоснование
    8.1 Обоснование целей безопасности
    8.2 Обоснование требований безопасности
    8.3 Обоснование краткой спецификации ОО
    8.4 Обоснование утверждений о соответствии ПЗ.
    В раздел ЗБ "Цели безопасности" включают краткое изложение предполагаемой реакции на аспекты среды безопасности как с точки зрения целей безопасности, которые должны соответствовать ОО, так и с точки зрения целей безопасности, которые должны соответствовать ИТ- и не ИТ-мерам в пределах среды ОО. Данный раздел ЗБ более подробно рассмотрен в разделе 9.
    В раздел ЗБ "Требования безопасности ИТ" включают функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где это возможно, функциональных компонентов и компонентов доверия к безопасности в соответствии с ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3. Раздел ЗБ "Требования безопасности ИТ" более подробно рассмотрен в разделе 10.
    В раздел "Краткая спецификация ОО" включают описание функций безопасности ИТ, реализуемых ОО и соответствующих специфицированным функциональным требованиям безопасности, а также любых мер доверия к безопасности, соответствующих специфицированным требованиям доверия к безопасности. Раздел ЗБ "Краткая спецификация ОО" более подробно рассмотрен в разделе 11.
    В разделе "Утверждения о соответствии ПЗ" идентифицируются ПЗ, о соответствии которым заявляется в ЗБ. а также любые дополнения или уточнения целей или требований из этих ПЗ. Раздел ЗБ "Утверждения о соответствии ПЗ" более подробно рассмотрен в разделе 13.
    В разделе ЗБ "Обоснование" демонстрируют, что ЗБ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ, соответствующий ОО учитывает определенные аспекты среды безопасности ИТ и функции безопасности ИТ и меры доверия к безопасности соответствуют требованиям безопасности ОО. Раздел ЗБ "Обоснование" более подробно рассмотрен в разделе 13.
    Как и для ПЗ (см. 6.1) при разработке ЗБ допускается отступать от вышеуказанной структуры путем включения дополнительных и исключения необязательных разделов (и/или подразделов) ЗБ.
 

6.3 Взаимосвязь между профилями защиты и заданиями по безопасности

 
    При сопоставлении таблиц 1 и 2 становится очевидной взаимосвязь между ПЗ и ЗБ вследствие высокой степени общности данных документов, в особенности разделов "Среда безопасности ОО", "Цели безопасности". "Требования безопасности ИТ" и, частично, - раздела "Обоснование". Если в ЗБ утверждается о соответствии ПЗ и при этом не специфицируются дополнительные функциональные требования и требования доверия к безопасности, то содержание упомянутых выше разделов ЗБ может быть идентично содержанию соответствующих разделов ПЗ. В таких случаях рекомендуется ссылка в ЗБ на содержание ПЗ с добавлением (там, где необходимо) деталей, отличающих ЗБ от ПЗ.
    Следующие разделы ЗБ не имеют аналогов в ПЗ и, таким образом, являются специфичными для ЗБ:
    a) раздел "Краткая спецификация ОО" - включает в себя функции безопасности ИТ, механизмы и способы обеспечения безопасности, а также меры доверия к безопасности;
    b) раздел "Утверждения о соответствии ПЗ" - мотивирует и детализирует требования соответствия ПЗ;
    c) подразделы раздела "Обоснование"-демонстрируют адекватность функций безопасности ИТ и мер доверия к безопасности требованиям безопасности ОО.
 

6.4 Учет информационных потребностей потенциальных пользователей профилей защиты и заданий по безопасности

 
    В ПЗ и ЗБ необходимо учитывать следующие информационные потребности потенциальных пользователей этих документов:
    - потребители (дистрибуторы и покупатели) нуждаются в информации, дающей общее представление о том, как ОО решает проблемы безопасности;
    - разработчики нуждаются в однозначном понимании требований безопасности с тем, чтобы создавать (формировать) соответствующие ОО;
    - оценщики нуждаются в информации, которая будет мотивировать правильность и эффективность ПЗ или ЗБ с технической точки зрения.
    Структура ПЗ и ЗБ должна быть разработана так, чтобы разные разделы содержали информацию, предназначенную для разных категорий пользователей.
    Разделы "Введение ПЗ и ЗБ", "Описание ОО" и "Среда безопасности ОО" предназначены, прежде всего, для потребителей. Раздел "Цели безопасности" также может быть изложен в первую очередь для потребителей. Вместе с тем следует помнить, что и разработчики ОО должны принять во внимание информацию, находящуюся в разделах "Среда безопасности ОО" и "Цели безопасности".
    Раздел "Требования безопасности ИТ", относящийся к ПЗ, предназначен прежде всего для разработчиков ОО, хотя информация, содержащаяся в этом разделе, вероятно, также будет интересна потребителям. Раздел ЗБ "Краткая спецификация ОО" предназначен прежде всего для оценщиков и потребителей. Если последние два раздела ПЗ не содержат достаточного количества информации, то в них необходимо поместить ссылку на другие разделы (подразделы) ПЗ (например, "Аннотация ПЗ") и документы, необходимые для полного и точного понимания представленных требований безопасности ИТ.
    В раздел ПЗ и ЗБ "Обоснование" включают информацию, предназначенную преимущественно для оценщиков. В то же время оценщикам целесообразно ознакомиться со всеми разделами ПЗ и ЗБ.
 

6.5 Процесс разработки профилей защиты и заданий по безопасности

 
    Анализ приложений В и С ИСО/МЭК 15408-1 и разделов 3 - 5 ИСО/МЭК 15408-3 показывает, что разработка ПЗ и ЗБ осуществляется в следующей (нисходящей) последовательности:
    a) идентификация аспектов среды безопасности;
    b) определение целей безопасности, учитывающих идентифицированные аспекты среды безопасности;
    c) формирование требований безопасности ИТ, направленных на удовлетворение целей безопасности.
    В общем случае, хотя и с учетом данной последовательности действий, процесс разработки ПЗ и ЗБ носит итеративный характер. Например, формирование требований безопасности может способствовать корректировке целей безопасности или даже потребностей в безопасности. В целом, может потребоваться целый ряд итераций для наиболее полного учета взаимосвязей между угрозами, ПБОр, целями и требованиями безопасности, а также функциями безопасности, в частности, при формировании "Обоснования" ПЗ и ЗБ. При этом только когда все проблемы формирования "Обоснования" ПЗ и ЗБ решены, процесс разработки ПЗ и ЗБ можно считать завершенным.
    Процесс разработки ПЗ и ЗБ может также включать внесение изменений в документ с тем, чтобы отразить изменения условий применения, например:
    a) идентификацию новых угроз;
    b) изменение ПБОр;
    c) связанные со стоимостными и временными ограничениями изменения в разделении ответственности обеспечения безопасности, возлагаемой соответственно на ОО и среду ОО;
    d) корректировку требований безопасности ИТ, функций безопасности и/или мер доверия к безопасности, связанную с изменениями в технологии и затратах на разработку ОО.
    Также возможно (например, для существующего продукта ИТ), что разработчики ПЗ и ЗБ имею четкое представление относительно ФТБ, которым соответствует ОО (даже если эти требования не были выражены в стандартах серии ИСО/МЭК 15408). В таких случаях определение аспектов среды безопасности и целей безопасности будет осуществляться, исходя из этих ФТБ. Процесс разработки ПЗ и ЗБ в таком случае будет "восходящим".
 

6.6 Семейства профилей защиты

 
    Семейство ПЗ представляет собой совокупность тесно связанных ПЗ, которые обычно относятся одному и тому же типу продукта или системы ИТ (например, операционная система, межсетевой экран т.д.). Разработка ПЗ может, таким образом, рассматриваться как часть процесса разработки семейства ПЗ. Разработка семейств ПЗ может идти по следующим направлениям:
    a) разработка совокупности иерархически связанных ПЗ для одного и того же типа ОО (ПЗ можно считать иерархическим по отношению к другому ПЗ семейства, если он включает в себя все требовав безопасности ИТ, специфицированные в другом ПЗ);
    b) разработка совокупности ПЗ, каждый из которых относится к различным компонентам системы И например, семейство "смарт-карты" могло бы включать в себя ПЗ для платы интегральной схемы, ПЗ для операционной системы, ПЗ для приложения, ПЗ считывателя смарт-карт и т.д.
    Если семейство ПЗ относится к конкретному типу ОО, важно, чтобы было четкое различие между различными членами семейства. Другими словами, должны быть четкие различия в требованиях безопасности ОО. Это связано с тем, что ПЗ должен, по крайней мере, отличаться целями безопасности, которые определяют выбор требований безопасности ИТ. В качестве примера можно рассмотреть случай, когда два ПЗ специфицируют одну и ту же совокупность ФТБ, но разные ТДБ. Допускается мотивировать более низкое требование безопасности возрастанием безопасности среды ОО. Такие различия должны быть отражены в целях безопасности. Там же, где семейство ПЗ применяется к различным компонентам системы ИТ (в конкретной или предполагаемой среде), должны быть четко определены ПЗ, включенные в семейство (см. также раздел 14, в котором рассматриваются вопросы разработки ПЗ для компонентов системы ИТ).
 

7 Описательные разделы профилей защиты и заданий по безопасности

 

7.1 Введение

 
    Настоящий раздел содержит рекомендации по формированию следующих описательных разделов ПЗ и ЗБ:
    a) "Введение ПЗ и ЗБ";
    b) "Описание ОО" в ПЗ и ЗБ;
    c) "Замечания по применению в ПЗ".
 

7.2 Описательные части профиля защиты и задания по безопасности

 
    7.2.1 Раздел "Введение"
    7.2.1.1 Подраздел "Идентификация"
    Назначение данного подраздела состоит в предоставлении информации для идентификации ПЗ, например, в целях последующей регистрации ПЗ. Идентификация, как минимум, должна включать в себя название ПЗ и идентификатор, который является уникальным для данной версии ПЗ. В подраздел "Идентификация ПЗ" также целесообразно включить следующую информацию:
    a) ключевые слова;
    b) оценочный уровень доверия (ОУД), если применяется в ПЗ;
    c) утверждение о соответствии версии конкретному стандарту серии ИСО/МЭК 15408;
    d) состояние оценки ПЗ.
    7.2.1.2 Подраздел "Аннотация"
    В соответствии со стандартами серии ИСО/МЭК 15408 подраздел "Аннотация ПЗ" должен быть представлен в форме резюме, используемого также в реестрах и каталогах ПЗ. В данный раздел необходимо включить высокоуровневый обзор проблемы безопасности, которая подлежит решению в ПЗ. Также желателен краткий обзор того, как ПЗ способствует решению проблемы безопасности. Этот обзор должен соответствовать техническому содержанию ПЗ. В случае необходимости "Аннотация ПЗ" может быть расширена до "Резюме для руководителя" или "Резюме для менеджера". Однако если предполагается, что ПЗ будет включен в реестр ПЗ, то соответствующий краткий обзор (обычно один-два параграфа) должен быть сформирован так. чтобы его можно было перенести в реестр.
    При формировании раздела ЗБ "Введение" целесообразно руководствоваться рекомендациями по формированию раздела ПЗ "Введение", за исключением того, что:
    a) утверждение о соответствии ИСО/МЭК 15408 является необязательным для ЗБ;
    b) к ЗБ неприменимы процедуры регистрации ПЗ;
    c) может потребоваться идентификация ЗБ, связанных с рассматриваемым ЗБ, если ОО представляет собой составной ОО либо является частью составного ОО.
    7.2.2 Раздел "Описание объекта оценки"
    В раздел "Описание ОО" ПЗ включают информацию о следующих видах (первые два вида информации - предписаны ИСО/МЭК 15408, два последних - являются необязательными):
    a) тип продукта ИТ;
    b) основные функциональные возможности ОО;
    c) границы ОО (необязательная информация);
    d) среда функционирования ОО (необязательная информация).
    Описание "основных функциональных возможностей ОО" включает в себя описание функциональных возможностей ОО, а не только характеристик безопасности (в случае, если обеспечение безопасности не является единственным предназначением ОО).
    Описание "границ ОО" (необязательное) - это описание того, что включает и чего не включает в себя ОО. При этом ПЗ может оставлять возможность разработчику соответствующего ЗБ установить окончательные границы между ОО и средой ОО. Тем не менее диапазон допустимого выбора таких границ должен быть в явном виде установлен в ПЗ.
    Описание "среды функционирования ОО" (необязательное) - это описание того, где функционирует ОО, включая важные предположения, ограничения, накладываемые процессами деятельности, и другие ключевые параметры, важные сточки зрения пользователей ПЗ.
    При формировании раздела "Описание ОО" необходимо стремиться к тому, чтобы максимально исключить возможность неправильного понимания пользователями ПЗ и ЗБ предназначения ОО и его возможностей по обеспечению безопасности информации (то есть необходимо исключить те детали описания ОО, которые не представляют интереса в свете предполагаемой оценки ОО).
    При формировании раздела ЗБ "Описание ОО" целесообразно руководствоваться рекомендациями по формированию раздела ПЗ "Описание ОО", за исключением того, что "границы ОО" должны быть определены как в части аппаратных и программных компонентов (физические границы), так и в части функциональных характеристик безопасности ОО.
    7.2.3 Раздел "Замечания по применению"
    Раздел "Замечания по применению" является необязательным. Замечания по применению могут быть оформлены как отдельный раздел ПЗ либо сопровождать различные части ПЗ, например, отдельные требования безопасности ОО. В замечания по применению целесообразно включать сопроводительную информацию, которая может оказаться полезной при проектировании, оценке и эксплуатации ОО. Основное назначение раздела "Замечания по применению" - пояснить, как конкретные требования безопасности необходимо интерпретировать для рассматриваемого ОО, а также предоставить разработчикам ЗБ рекомендации по выполнению операций (выбор, назначение, уточнение) над функциональными компонентами.
    Если замечания по применению распределены по всему тексту ПЗ, то в этих случаях их необходимо однозначно идентифицировать как таковые, чтобы пользователь ПЗ интерпретировал их именно как "Замечания по применению", а не как, например, уточнения для ФТБ и ТДБ.
 

8 Среда безопасности объекта оценки

 

8.1 Введение

 
    В данном разделе представлены рекомендации по спецификации раздела ПЗ и ЗБ "Среда безопасности ОО". Требования к содержанию этого раздела ПЗ и ЗБ определены в ИСО/МЭК 15408-1, приложение В, подраздел В.2.4 и приложение С, подраздел С.2.4.
    Содержание разделов "Среда безопасности ОО" в ПЗ и "Среда безопасности ОО" в ЗБ не имеют серьезных различий.
    Цель раздела "Среда безопасности ОО" состоит в определении аспектов безопасности среды ОО (см. рисунок 1).
 

 

Рисунок 1 - Определение аспектов среды безопасности объекта оценки

 
    В данном разделе предметом рассмотрения становятся следующие аспекты:
    a) предположения относительно среды безопасности ОО;
    b) активы, требующие защиты (обычно информация или ресурсы в пределах ИТ-среды или непосредственно ОО), идентифицированные источники угроз и сами угрозы, которые они порождают для активов;
    c) ПБОр или правила, которым должен соответствовать ОО.
    Следующие разделы ПЗ и ЗБ показывают, как аспекты безопасности среды ОО будут удовлетворяться объектом оценки и его средой. Именно поэтому важно обеспечить ясную и краткую формулировку аспектов безопасности среды ОО.
    При определении аспектов среды безопасности следует избегать (где возможно) описания того, как ОО учитывает аспекты безопасности среды. Такой подход позволяет акцентировать внимание пользователя ПЗ и ЗБ на наиболее важных аспектах безопасности среды ОО.
 

8.2 Идентификация и спецификация предположений безопасности

 
    В соответствии со стандартами серии ИСО/МЭК 15408 в раздел "Среда безопасности ОО" ПЗ и ЗБ необходимо включать перечень предположений относительно среды безопасности ОО или предполагаемого использования ОО.
    Для формирования такого перечня необходимо определить характер предположений относительно среды безопасности ОО и ее границы. Например, может потребоваться сформулировать предположения, связанные с тем, что потенциальные угрозы практически не оказывают влияния на безопасность активов среды ОО.
    В ПЗ и ЗБ целесообразно включать следующие группы предположений:
    a) предположения относительно будущего использования ОО;
    b) предположения, связанные с защитой любой части ОО со стороны среды (например, физическая защита);
    c) предположения связности [например, межсетевой экран должен быть единственным сетевым соединением между частной (защищаемой) и внешней (потенциально враждебной) сетью];
    d) предположения, имеющие отношение к персоналу [например, предполагаемые пользовательские роли, основные обязанности (ответственность) пользователей и степень доверия этим пользователям].
    Кроме того, в ПЗ и ЗБ целесообразно включать и другие предположения, оказывающие существенное влияние на содержание ПЗ и ЗБ, например, предположения, определяющие выбор требований доверия к безопасности. Необходимо помнить, что все идентифицированные предположения безопасности должны быть учтены при формировании целей безопасности. Предположения безопасности, которые по какой-либо причине не могут быть учтены при формировании целей безопасности, целесообразно включать в ПЗ и ЗБ в качестве сопроводительной информации.
    Чаще всего с первого раза невозможно полностью идентифицировать все предположения. Поэтому предположения могут быть дополнительно идентифицированы на протяжении всего периода разработки ПЗ или ЗБ. В частности, при формировании раздела ПЗ и ЗБ "Обоснование" (например, при демонстрации пригодности целей безопасности для противостояния идентифицированным угрозам) необходимо установить, были ли сделаны предположения, не нашедшие своего отображения в ПЗ и ЗБ.
    Наряду с использованием итерационного подхода к идентификации предположений безопасности, необходимо избегать включения в раздел "Среда безопасности ОО" любых предположений, связанных с эффективным использованием конкретных функций безопасности ОО (ФБО), которые идентифицированы в процессе формирования раздела "Обоснование". Соответствующую этим "предположениям" информацию целесообразно включать в ПЗ и ЗБ в виде требований безопасности для не ИТ-среды (см. 10.5.2).
    Однако в раздел "Среда безопасности ОО" целесообразно включать следующего вида предположения, имеющие отношение к персоналу: "для ОО определены один или несколько администраторов, в обязанности которых входит обеспечение надлежащей настройки и соответствующего использования ФБО".
    Для упрощения осуществления ссылок рекомендуется, чтобы каждое предположение было пронумеровано или имело уникальную метку.
    Примеры предположений приведены в приложении В.
 

8.3 Идентификация и спецификация угроз

 
    8.3.1 Краткий обзор
    Согласно ИСО/МЭК 15408-1, приложения В, подраздел В.2.4 необходимо включать в ПЗ и ЗБ описание всех угроз для активов, подлежащих защите. Тем не менее формулировка угроз может быть опущена, если цели безопасности сформулированы, исходя исключительно из ПБОр, то есть формулировка угроз может быть опущена в случае, если аспекты среды безопасности ОО полностью определяются ПБОр и предположениями безопасности.
    При этом рекомендуется, чтобы формулировка угроз была включена в ПЗ и ЗБ, поскольку она обеспечивает лучшее понимание аспектов среды безопасности ОО, чем соответствующая им совокупность правил ПБОр. Более того, достаточно опасно полагаться исключительно на ПБОр, так как она не всегда может надлежащим образом отразить текущие угрозы. Если полная совокупность правил ПБОр уже сформулирована, тем не менее, является целесообразным формулирование угроз с целью максимального облегчения использования ПЗ и отражения более глубокого понимания аспектов среды безопасности ОО.
    Важным этапом обеспечения безопасности ОО является анализ рисков, так как, если он не выполнен должным образом, ОО будет не в состоянии обеспечить адекватную защиту активов, в результате чего активы организации могут остаться подверженными неприемлемому уровню риска. Следует отметить, что подробные рекомендации по организации процесса идентификации угроз активам (являющегося одним из самых трудоемких этапов анализа риска организации) в настоящий стандарт не включены. Тем не менее, ниже излагаются общие принципы идентификации угроз.
    8.3.2 Идентификация угроз
    8.3.2.1 Понятие угрозы
    Угрозы характеризуются следующими аспектами: источник угрозы; предполагаемый метод нападения; уязвимости, которые могут быть использованы для нападения (реализации угрозы); и активы, подверженные нападению.
    Примечание - Нарушения ПБОр не должны трактоваться как угрозы. В целях идентификации угроз необходимо выяснить:
    a) какие активы требуют защиты;
    b) кто или что является источником угрозы;
    c) от каких методов нападения или нежелательных событий активы должны быть защищены.
    8.3.2.2 Идентификация активов
    Активы представляют собой информацию или ресурсы, которые должны быть защищены средствами ОО. Активы имеют определенную ценность для их владельцев (человека или организации), а также (очень часто) - и для источников угроз. Последние могут пытаться, вопреки желаниям и интересам владельцев активов, скомпрометировать их, например, путем нарушения конфиденциальности, целостности и доступности данных активов.
    Активы, которые надлежит учесть разработчику ПЗ и ЗБ, могут быть представлены в виде первичных активов организации (например, денежные активы, персонал и репутация организации). Под владельцем активов понимают субъекты, ответственные за сохранность активов в пределах системы ИТ (в которой размещен ОО). Различают владельцев первичных активов (их может быть много) и владельца ОО, а также владельцев информации, хранимой и обрабатываемой ОО. Поэтому в ПЗ и ЗБ целесообразно при описании активов идентифицировать владельцев первичных активов.
    В примере ПЗ для третьей доверенной стороны (ТДС) (см. приложение F) различные криптографические ключи будут иметь разных владельцев: подписчиков ТДС и владельца самого ТДС. Другой пример - медицинские системы ИТ. Хранимая и обрабатываемая в них информация не имеет одного владельца, а предназначена для использования всеми заинтересованными сторонами в соответствии с заданным набором правил ее использования и контроля такого использования.
    Активы обычно включают в себя информацию, которая хранится, обрабатывается или передается в системе ИТ. При этом активы могут являться внешними по отношению к самому ОО (но находиться в пределах его ИТ-среды). В качестве примера можно привести информацию и ресурсы, защищаемые межсетевыми экранами или системами обнаружения вторжений.
    В качестве активов, подлежащих защите, необходимо идентифицировать информацию авторизации и реализацию ИТ, которые косвенно относятся к предметам задания требований безопасности. Идентификацию таких активов можно рассматривать как составляющую процесса идентификации контрмер, необходимых для защиты первичных активов (или их представления). Нецелесообразно на данной стадии разработки ПЗ и ЗБ идентифицировать как активы информацию и ресурсы, связанные с представлением самого ОО, и только косвенно связанные с первичными активами. Такая детализация может привести к:
    a) нечеткому пониманию основного предназначения ОО (обеспечение защиты первичных активов или их представлений в пределах ИТ-среды);
    b) слишком раннему (еще до описания угроз и целей безопасности) ознакомлению пользователя ПЗ и ЗБ с деталями реализации.
    8.3.2.3 Идентификация источников угроз
    Источником угроз могут быть люди либо иные не связанные с деятельностью человека факторы. При этом основное внимание обычно уделяется угрозам, связанным со злонамеренной или другой деятельностью человека.
    При идентификации источников угроз необходимо рассмотреть:
    а) кто и по каким причинам может быть заинтересован в компрометации идентифицированных активов;
    b) кто (с учетом занимаемой должности) имеет возможность компрометации идентифицированных активов. Другими словами, кто может получить доступ к системе ИТ, в которой хранятся, обрабатываются и передаются идентифицированные активы;
    c) каковы предполагаемые уровень технической компетентности, уровень возможностей нарушителя, доступные ресурсы для реализации угрозы (например, автоматические инструментальные средства взлома и исследования сетей) и мотивация.
    Источники угроз, не связанные с деятельностью человека, а также угрозы, возникшие в результате неумышленных действий человека (то есть случайно), также должны быть рассмотрены, так как могут привести к компрометации активов.
    8.3.2.4 Идентификация методов нападения
    Следующим этапом после идентификации активов, подлежащих защите, и источников угроз является идентификация возможных методов нападения, приводящих к компрометации активов. Идентификация возможных методов нападения основывается на информации о среде безопасности ОО, например, на:
    a) потенциальных уязвимостях активов, которые могут быть использованы источниками угроз;
    b) возможности нарушителей, имеющих доступ к среде безопасности ОО.
    Потенциальные уязвимости активов организации могут быть идентифицированы путем анализа уязвимостей среды безопасности ОО с учетом идентифицированных предположений о среде. Тем не менее следует помнить, что такой анализ может не выявить всех уязвимостей, и поэтому нельзя недооценивать возможность наличия новых и необнаруженных угроз.
    8.3.2.5 Влияние результатов анализа рисков на идентификацию угроз
    Проведение анализа рисков целесообразно на этапе идентификации угроз, но методы анализа рисков не определены в ИСО/МЭК 15408. Процесс анализа рисков также необходим на этапе идентификации целей безопасности для ОО и его среды (см. раздел 8) и требуемого уровня доверия к контрмерам, направленным на противостояние возможным угрозам (см. раздел 9). Методы анализа риска должны учитывать следующее:
    a) вероятность и последствия компрометации активов с учетом:
    1) возможности реализации идентифицированных методов нападения,
    2) вероятности успешной реализации нападения,
    3 )возможного ущерба (включая величину материального ущерба, явившегося результатом успешного нападения);
    b) другие ограничения, например правовые нормы и стоимость.
    8.3.3 Спецификация угроз
    Следующим этапом после идентификации угроз, которые должен учитывать ОО и его среда, является спецификация данных угроз в ПЗ и ЗБ. Как отмечалось в предыдущих разделах, в разделе "Среда безопасности ОО" формулировка аспектов среды безопасности ОО и, в частности, - спецификация угроз должна быть четкой и краткой.
    Для обеспечения четкой спецификации угроз необходимо учитывать следующие аспекты (идентифицированные в соответствии с 8.2.1):
    a) источники угроз (например, уполномоченный пользователь ОО);
    b) активы, подверженные нападению (например, конфиденциальные данные);
    c) используемый метод нападения (например, маскировка под уполномоченного пользователя ОО). Ниже приведены примеры формулирования угроз:
    Угроза 1: нарушитель может получить неуполномоченный доступ к конфиденциальной информации либо ресурсам ограниченного использования, выдав себя за уполномоченного пользователя ОО.
    Угроза 2: уполномоченный пользователь ОО может получить доступ к конфиденциальной информации или ресурсам ограниченного использования, выдав себя за другого уполномоченного пользователя ОО.
    Если описание угрозы сопровождается объяснением всех используемых терминов, описанием активов, подверженных риску компрометации, и спецификацией конкретных методов нападения, то это будет способствовать более глубокому осознанию пользователем ПЗ и ЗБ сущности угрозы. Так, в примерах угроз, изложенных выше, целесообразно пояснить, что активами, подверженными риску компрометации, являются информация и ресурсы, к которым пользователь (в том числе выдававший себя за конкретного уполномоченного пользователя) имеет доступ.
    Для того, чтобы обеспечить, насколько это возможно, краткое изложение (формулировку) угроз, необходимо исключить совпадение описаний угроз, что поможет избежать потенциальных недоразумений при использовании ПЗ и ЗБ, а также ненужных повторений, обеспечив тем самым более простое обоснование ПЗ и ЗБ.
    Совпадение описаний угроз можно легко избежать, если специфицировать все угрозы на одинаковом уровне детализации. Например, нет необходимости при спецификации угрозы конкретным активам детально описывать метод нападения, если конкретный сценарий нападения связан с более общими угрозами, ранее изложенными в ПЗ или ЗБ.
    Каждая угроза должна иметь уникальную метку. Это необходимо для упрощения использования ссылок (например, в тех частях раздела ПЗ "Обоснование", которые показывают связь изложенных целей безопасности и угроз). Угрозы маркируют одним из перечисленных ниже способов:
    a) последовательная нумерация угроз (например, У1, У2, УЗ и т.д.);
    b) присвоение уникальной метки, обеспечивающей краткое, но значащее "имя" (см. примеры в приложении В).
    Преимущество подхода b) перед а) заключается в том, что уникальная метка является более информативной, так как несет в себе более значимую информацию, чем просто цифра. Неудобство подхода b) заключается в том, что не всегда удается нанести уникальную метку (из-за практических ограничений связанных с ограничением числа символов в метке); так, в некоторых случаях метка может ввести е заблуждение, или ее можно толковать по-разному.
    Описание угроз должно затрагивать только те потенциальные события, которые непосредственно могу привести к компрометации активов, требующих защиты. Поэтому не рекомендуется включать в описании угрозы, например, следующего вида: "В ОО могут существовать недостатки обеспечения безопасности ОО". Такая формулировка угрозы не способствует пониманию пользователем ПЗ и ЗБ проблем безопасности. Кроме того, учитывать сформулированную таким образом угрозу должны не ОО и его среда, а разработчики и оценщики ОО.
    Применение контрмер для угроз может привести к атакам другого вида, что в свою очередь так же может привести к компрометации активов (например, обход или вмешательство в работу механизмов реализующих функции безопасности ОО). При рассмотрении в ПЗ и ЗБ такого рода угроз необходимо стремиться к тому, чтобы:
    a) в результате их включения в раздел "Среда безопасности ОО" преждевременно не рассматривались детали реализации ОО, нарушающие системный подход к решению проблем безопасности;
    b) они (угрозы) не попадали в область действия существующих угроз.
    Например, из существования угрозы X, направленной на компрометацию актива Y, следует, что ль бая попытка обхода контрмер угрозе X может привести к компрометации актива Y.