ГОСТ Р ИСО/МЭК 25023-2021. Национальный стандарт Российской Федерации. Системная и программная инженерия. Требования и оценка качества систем и программной продукции (SQuaRE). Измерения качества системы и программной продукции
8.7 Показатели безопасности
Показатели безопасности используются для оценки степени защиты информации и данных продуктом или системой, с тем чтобы лица или другие продукты или системы имели степень доступа к данным, соответствующую их типам и уровням авторизации.
Примечания
1 Тесты на проникновение могут быть выполнены для имитации атаки, поскольку атаки такого рода обычно не происходят при тестировании.
2 Требования к обеспечению безопасности значительно различаются в зависимости от подключения системы к интернету или автономной работы системы. Определение требуемых функций обеспечения безопасности и обеспечение их эффективности подробно рассматриваются в соответствующих международных стандартах. Пользователь настоящего стандарта должен определить, какие функции безопасности необходимо использовать в каждом конкретном случае в зависимости от уровня риска.
8.7.1 Показатели конфиденциальности
Показатели конфиденциальности, приведенные в таблице 19, используют для оценки степени, в которой продукт или система гарантируют доступность данных только для зарегистрированных пользователей.
Таблица 19
Показатели конфиденциальности
ID | Имя | Описание | Функция измерения |
SCo-1-G | Контроль доступа | Какая часть конфиденциальных элементов данных защищена от несанкционированного доступа? | X = 1 - A/B, где A - число конфиденциальных элементов данных, доступ к которым разрешен без авторизации; B - число конфиденциальных элементов данных, доступ к которым ограничен |
SCo-2-G | Корректность шифрования данных | Насколько корректно реализовано шифрование и дешифрование элементов данных относительно требований к продукту или системе? | X = A/B, где A - число элементов данных, шифруемых и дешифруемых корректно; B - число элементов данных, шифрование и дешифрование которых требуется |
SCo-3-S | Сложность криптографических алгоритмов | Какая часть используемых криптографических алгоритмов достаточно сложна? | X = 1 - A/B, где A - число ненадежных криптографических алгоритмов; B - число используемых криптографических алгоритмов |
Примечания 1 Крайне важно выбирать сложные криптографические алгоритмы, признанные экспертами в криптографии. 2 Другим способом определения сложности криптографических алгоритмов является, например, тест на проникновение и этичный взлом. | |||
8.7.2 Показатели целостности
Показатели целостности, приведенные в таблице 20, используются для оценки степени, в которой система, продукт или компонент предотвращают несанкционированный доступ к компьютерным программам, данным или к их модификации.
Таблица 20
Показатели целостности
ID | Имя | Описание | Функция измерения |
SIn-1-G | Целостность данных | В какой степени предотвращается компрометация или несанкционированное изменение данных? | X = 1 - A/B, где A - число элементов данных, скомпрометированных при несанкционированном доступе; B - число элементов данных, компрометация которых должна быть предотвращена |
SIn-2-G | Защита от повреждения данных | В какой степени предусмотрена защита данных от повреждения? | X = A/B, где A - число реализованных методов защиты данных от повреждения; B - число доступных для реализации методов |
Примечание - Примерами методов защиты данных от повреждения могут служить периодическое резервное копирование, сравнение данных с эталонной моделью, хранение данных в нескольких дублирующих массивах. | |||
SIn-3-S | Защита от переполнения буфера | Какая часть операций доступа к памяти реализует контроль переполнения? | X = A/B, где A - число операций доступа к памяти с контролем переполнения; B - общее число операций доступа к памяти |
Примечание - Переполнение буфера возникает, когда данные, записываемые в буфер, повреждают данные, находящиеся в смежных ячейках памяти. Это может произойти, в частности, при копировании данных из одного буфера в другой. | |||
8.7.3 Показатели неопровержимости
Показатели неопровержимости, приведенные в таблице 21, используются для оценки степени, в которой возможно установить и подтвердить факт совершения определенного действия в продукте или системе.
Таблица 21
Показатели неопровержимости
ID | Имя | Описание | Функция измерения |
SNo-1-G | Использование цифровой подписи | Какая часть событий, требующих точного и однозначного подтверждения, выполняется с использованием цифровой подписи? | X = A/B, где A - число событий, однозначно подтверждаемых с использованием цифровой подписи; B - число событий, которые должны быть однозначно подтверждены с использованием цифровой подписи |
Примечание - Сертификаты и алгоритмы безопасности также полезны для улучшения неопровержимости. | |||
8.7.4 Показатели отчетности
Показатели отчетности, приведенные в таблице 22, используются для оценки той степени, в какой действия субъекта могут быть прослежены.
Таблица 22
Показатели отчетности
ID | Имя | Описание | Функция измерения |
SAc-1-G | Полнота журнала действий пользователей | Насколько полную информацию содержит журнал, фиксирующий доступ пользователей к системе или данным? | X = A/B, где A - число получений доступа, зафиксированных во всех используемых журналах; B - число получений доступа, осуществленных во время тестирования |
SAc-2-S | Хранение системного журнала | Какую часть требуемого периода хранения системный журнал хранится в стабильных хранилищах? | X = A/B, где A - действительная продолжительность хранения системного журнала в стабильных хранилищах; B - требуемый период хранения системного журнала в стабильных хранилищах |
Примечания 1 Стабильным считается хранилище, которое гарантирует атомарность каждой операции записи и возможность записи независимо от отказов оборудования или питания. Чаще всего функционал стабильного хранилища достигается посредством зеркалирования данных на отдельные диски с помощью технологии RAID. 2 Значение показателя варьируется от 0 до бесконечности. Обычно значение больше 1 считается наилучшим. | |||
8.7.5 Показатели аутентификации
Показатели аутентификации, приведенные в таблице 23, используются для оценки степени, в которой заявленные данные о предмете или ресурсе достоверны.
Таблица 23
Показатели аутентификации
ID | Имя | Описание | Функция измерения |
SAu-1-G | Корректность механизма аутентификации | Насколько точно система определяет субъект? | X = A/B, где A - число реализуемых механизмов аутентификации; B - число определенных механизмов аутентификации |
Примечание - Для обеспечения безопасности важна сложность модели аутентификации и возможность реализовывать многоуровневую многофакторную аутентификацию и обнаружение угроз. | |||
SAu-2-S | Соответствие правил аутентификации | Какая часть требуемых правил аутентификации реализована? | X = A/B, где A - число реализованных правил аутентификации; B - число правил аутентификации, реализация которых требуется |
Подписаться на обновления