Нормативная документация
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Обозначения и сокращения

5 Краткий обзор


6 Принятые соглашения

7 Общие задачи оценки

7.1 Введение


7.2 Задача получения исходных данных для оценки

7.3 Задача оформления результатов оценки

8 Оценка профиля защиты

8.1 Введение


8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

9 Оценка задания по безопасности

9.1 Введение


9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

10 Оценка по ОУД1

10.1 Введение


10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.5 Вид деятельности «Поставка и эксплуатация»

10.6 Вид деятельности «Разработка»

10.7 Вид деятельности «Руководства»

10.8 Вид деятельности «Тестирование»

11 Оценка по ОУД2

11.1 Введение


11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.5 Вид деятельности «Поставка и эксплуатация»

11.6 Вид деятельности «Разработка»

11.7 Вид деятельности «Руководства»

11.8 Вид деятельности «Тестирование»

11.9 Вид деятельности «Оценка уязвимостей»

12 Оценка по ОУД3

12.1 Введение


12.2 Цели

12.3 Организация оценки по ОУД3

12.4 Вид деятельности «Управление конфигурацией»

12.5 Вид деятельности «Поставка и эксплуатация»

12.6 Вид деятельности «Разработка»

12.7 Вид деятельности «Руководства»

12.8 Вид деятельности «Поддержка жизненного цикла»

12.9 Вид деятельности «Тестирование»

12.10 Вид деятельности «Оценка уязвимостей»

13 Оценка по ОУД4

13.1 Введение


13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.5 Вид деятельности «Поставка и эксплуатация»

13.6 Вид деятельности «Разработка»

13.7 Вид деятельности «Руководства»

13.8 Вид деятельности «Поддержка жизненного цикла»

13.9 Вид деятельности «Тестирование»

13.10 Вид деятельности «Оценка уязвимостей»

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранений недостатков (ALC_FLR.1)


14.2 Оценка устранений недостатков (ALC_FLR.2)

14.3 Оценка устранений недостатков (ALC_FLR.3)

Приложение А (обязательное) Общие указания по оценке

А.1 Цели


А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.5 Посещение объектов

А.6 Границы объекта оценки

А.7 Угрозы и требования класса FPT

А.8 Стойкость функций безопасности и анализ уязвимостей

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам













ГОСТ Р ИСО/МЭК 18045-2008



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ



Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ


Методология оценки безопасности информационных технологий


Information technology. Security techniques. Methodology for IT security evaluation


Дата введения — 2009—10—01




1 Область применения


Настоящий стандарт — нормативный документ, применяемый совместно с ИСО/МЭК 15408. Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки безопасности информационных технологий (ИТ) по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссыпки на следующие международные стандарты:

ИСО/МЭК 15408-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель

ИСО/МЭК 15408-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности

ИСО/МЭК 15408-3:2005 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты

ИСО 9000:2000 Системы менеджмента качества. Основные положения и словарь

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

Примечание - Для терминов, выделенных в тексте определений полужирным шрифтом, в настоящем разделе даны собственные определения.

3.1 действие (action): Элемент действий оценщика по ИСО/МЭК 15408-3. Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов доверия ИСО/МЭК 15408-3.

3.2 вид деятельности (activity): Применение класса доверия по ИСО/МЭК 15408-3.

3.3 проверить (check): Вынести вердикт посредством простого сравнения, при этом специальные знания и опыт оценщика не требуются. В формулировке, в которой используется этот глагол, должно быть описано то, что подлежит сравнению.

3.4 поставка для оценки (evaluation deliverable): Любой ресурс, который оценщик или орган оценки требует от заявителя или разработчика для выполнения одного или нескольких видов деятельности по проведению оценки или по надзору за оценкой.

3.5 свидетельство оценки (evaluation evidence): Фактическая поставка для оценки.

3.6 технический отчет об оценке (evaluation technical report): Отчет, выпущенный оценщиком, представленный в орган оценки и содержащий общий вердикт и его логическое обоснование.

3.7 исследовать (examine): Вынести вердикт на основе анализа с использованием специальных знаний и опыта оценщика. Формулировка, в которой используется этот глагол, указывает на то, что конкретно и какие свойства должны быть подвергнуты анализу.

3.8 интерпретация (interpretation): Разъяснение или расширение требования ИСО/МЭК 15408, настоящего стандарта или системы оценки.

3.9 методология (methodology): Система принципов, процедур и процессов, применяемых для оценки безопасности информационных технологий.

3.10 сообщение о проблеме (observation report).: Сообщение, документально оформленное оценщиком, в котором он просит разъяснений или указывает на возникшую при оценке проблему.

3.11 общий вердикт (overall verdict): Положительный или отрицательный вывод оценщика по результатам оценки.

3.12 вердикт органа оценки (oversight verdict): Вывод органа оценки, подтверждающий или отклоняющий общий вердикт, который основан на результатах деятельности по надзору за оценкой.

3.13 зафиксировать (record): Сохранить в документальной форме описания процедур, событий, данных наблюдений, предположений и результатов на уровне детализации, достаточном для обеспечения воспроизведения в будущем процесса выполнения оценки.

3.14 привести в отчете (сообщении) (report): Включить результаты оценки и вспомогательные материалы в технический отчет об оценке или в сообщение о проблеме.

3.15 система оценки (scheme): Совокупность правил, установленных органом оценки и определяющих среду оценки, включая критерии и методологию, требуемые для проведения оценки безопасности информационных технологий.

3.16 подвид деятельности (sub-activity): Применение компонента доверия ИСО/МЭК 15408-3. Семейства доверия прямо не рассматриваются в настоящем стандарте, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства.

3.17 прослеживание (tracing): Однонаправленная связь между двумя совокупностями сущностей, которая показывает, какие сущности в первой совокупности каким сущностям из второй соответствуют.

3.18 вердикт (verdict): Вывод оценщика (положительный, отрицательный или неокончательный) применительно к некоторому элементу действий оценщика, компоненту или классу доверия из ИСО/МЭК 15408. См. также общий вердикт.

3.19 шаг оценивания (worfc unit): Наименьшая структурная единица работ по оценке. Каждое действие в методологии оценки включает в себя один или несколько шагов оценивания, которые сгруппированы в пределах действия методологии оценки применительно к элементам содержания и представления свидетельств или элементам действий разработчика ИСО/МЭК 15408-3. Шаги оценивания представлены в настоящем стандарте в том же порядке, что и элементы ИСО/МЭК 15408-3, из которых они следуют. Шаги оценивания идентифицированы условным обозначением типа 4:ALC_TAT.1-2. В этом обозначении первая цифра (4) указывает на оценочный уровень доверия (ОУД), последовательность символов ALC_TAT.1 указывает на компонент ИСО/МЭК 15408-3 (т.е. на подвид деятельности из настоящего стандарта), а завершающая цифра (2) указывает, что это второй шаг оценивания в подвиде деятельности ALC_TAT.1.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |


books on zlibrary