Информационная безопасность

         

Существующие версии Общей методологии оценки безопасности информационных технологий - часть 3


Вместе с тем, некоторые шаги оценивания ОМО могут прямо следовать из требований ОК, содержащихся в элементах действий разработчика, содержания и представления свидетельств.

Рисунок 1. Соотношение структур ОК и ОМО

В ОМО термин "Вид деятельности" ("activity") используется для описания применения класса доверия из части 3 ОК.

Для описания применения компонента доверия из части 3 ОК используется термин "Подвид деятельности" ("sub-activity"). Заметим, что семейства доверия прямо не рассматриваются в ОМО, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства.

В свою очередь, с элементом действий оценщика из части 3 ОК связан термин "Действие" ("action"). Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов доверия из части 3 ОК.

Термин "Шаг оценивания" ("work unit") описывает неразделимый фрагмент работы по оценке. Каждое действие в ОМО включает один или несколько шагов оценивания, которые сгруппированы по элементам содержания и представления или действий разработчика соответствующего компонента из части 3 ОК. Шаги оценивания представлены в ОМО в том же порядке, что и элементы ОК, из которых они следуют. Шаги оценивания содержат обязательные действия, которые оценщик должен выполнить, чтобы прийти к заключению.

Текст, сопровождающий шаги оценивания, содержит дальнейшие разъяснения использования формулировок ОК при оценке. Хотя сопроводительный текст не предписывает обязательные меры, он дает представление о том, что ожидается от оценщика при удовлетворении обязательных аспектов шагов оценивания.

ОМО разбита на следующие главы:

  • Глава 1 "Введение" описывает цели, структуру, соглашения и терминологию документа.
  • Глава 2 "Процесс оценки и соответствующие задачи" описывает задачи, которые относятся ко всем видам деятельности по оценке (задачи получения исходных данных для оценки и оформления результатов оценки).
  • Глава 3 "Оценка ПЗ" описывает методологию оценки ПЗ, основанную на классе APE части 3 ОК.
  • Глава 4 "Оценка ЗБ" описывает методологию оценки ЗБ, основанную на классе ASE части 3 ОК.


    Содержание  Назад  Вперед