Нормативная документация
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения


4 Обозначения и сокращения

5 Краткий обзор


6 Принятые соглашения

7 Общие задачи оценки

7.1 Введение


7.2 Задача получения исходных данных для оценки

7.3 Задача оформления результатов оценки

8 Оценка профиля защиты

8.1 Введение


8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

9 Оценка задания по безопасности

9.1 Введение


9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

10 Оценка по ОУД1

10.1 Введение


10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.5 Вид деятельности «Поставка и эксплуатация»

10.6 Вид деятельности «Разработка»

10.7 Вид деятельности «Руководства»

10.8 Вид деятельности «Тестирование»

11 Оценка по ОУД2

11.1 Введение


11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.5 Вид деятельности «Поставка и эксплуатация»

11.6 Вид деятельности «Разработка»

11.7 Вид деятельности «Руководства»

11.8 Вид деятельности «Тестирование»

11.9 Вид деятельности «Оценка уязвимостей»

12 Оценка по ОУД3

12.1 Введение


12.2 Цели

12.3 Организация оценки по ОУД3

12.4 Вид деятельности «Управление конфигурацией»

12.5 Вид деятельности «Поставка и эксплуатация»

12.6 Вид деятельности «Разработка»

12.7 Вид деятельности «Руководства»

12.8 Вид деятельности «Поддержка жизненного цикла»

12.9 Вид деятельности «Тестирование»

12.10 Вид деятельности «Оценка уязвимостей»

13 Оценка по ОУД4

13.1 Введение


13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.5 Вид деятельности «Поставка и эксплуатация»

13.6 Вид деятельности «Разработка»

13.7 Вид деятельности «Руководства»

13.8 Вид деятельности «Поддержка жизненного цикла»

13.9 Вид деятельности «Тестирование»

13.10 Вид деятельности «Оценка уязвимостей»

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранений недостатков (ALC_FLR.1)


14.2 Оценка устранений недостатков (ALC_FLR.2)

14.3 Оценка устранений недостатков (ALC_FLR.3)

Приложение А (обязательное) Общие указания по оценке

А.1 Цели


А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.5 Посещение объектов

А.6 Границы объекта оценки

А.7 Угрозы и требования класса FPT

А.8 Стойкость функций безопасности и анализ уязвимостей

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам













9.2 Организация оценки ЗБ

Виды деятельности по проведению полной оценки ЗБ охватывают следующее:

a) задачу получения исходных данных для оценки (раздел 7);

b) вид деятельности по оценке ЗБ, включающий в себя следующие подвиды деятельности:

1) оценку раздела «Описание ОО» (9.3.1);

2) оценку раздела «Среда безопасности ОО» (9.3.2);

3) оценку раздела «Введение ЗБ» (9.3.3);

4) оценку раздела «Цели безопасности» (9.3.4);

5) оценку раздела «Утверждения о соответствии ПЗ» (9.3.5);

6) оценку раздела «Требования безопасности ИТ» (9.3.6);

7) оценку сформулированных в явном виде требований безопасности ИТ (9.3.7);

8) оценку раздела «Краткая спецификация ОО» (9.3.8);

c) задачу оформления результатов оценки (раздел 7).

Задачи получения исходных данных для оценки и оформления результатов оценки описаны в разделе 7. Подвиды деятельности по оценке вытекают из требований доверия класса ASE, содержащихся в ИСО/МЭК 15408-3.

В настоящей разделе описаны подвиды деятельности, включенные в оценку ЗБ. Хотя подвиды деятельности могут начинаться более или менее случайно, некоторые зависимости между подвидами деятельности должны быть учтены оценщиком. Руководство по учету зависимостей см в А.4 «Зависимости» (приложение А).

Необходимость выполнения подвидов деятельности по оценке утверждений о соответствии ПЗ и по оценке сформулированных в явном виде требований безопасности ИТ не является постоянной: подвид деятельности по оценке утверждений о соответствии ПЗ выполняют только тогда, когда имеет место утверждение о соответствии ПЗ, а подвид деятельности по оценке сформулированных в явном виде требований безопасности ИТ выполняют только тогда, когда в изложение требований безопасности ИТ включены требования безопасности, взятые не из ИСО/МЭК 15408-2 или ИСО/МЭК 15408-3.

Некоторая информация, подлежащая включению в ЗБ, может быть представлена соответствующей ссылкой. Например, если в ЗБ утверждают о соответствии некоторому ПЗ, то такую информацию из ПЗ, как описание среды и угроз, можно рассматривать как часть ЗБ и предполагать, что она соответствует критериям для ЗБ.

Если в ЗБ утверждают о соответствии оцененному ПЗ и ЗБ в значительной степени основано на содержании этого ПЗ, то допускается повторное использование результатов оценки ПЗ при выполнении многих из перечисленных выше подвидов деятельности. В частности, повторное использование возможно при оценке изложения среды безопасности, целей безопасности и требований безопасности ИТ. В ЗБ допускается утверждение о соответствии нескольким ПЗ.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary