Нормативная документация
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения


4 Обозначения и сокращения

5 Краткий обзор


6 Принятые соглашения

7 Общие задачи оценки

7.1 Введение


7.2 Задача получения исходных данных для оценки

7.3 Задача оформления результатов оценки

8 Оценка профиля защиты

8.1 Введение


8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

9 Оценка задания по безопасности

9.1 Введение


9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

10 Оценка по ОУД1

10.1 Введение


10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.5 Вид деятельности «Поставка и эксплуатация»

10.6 Вид деятельности «Разработка»

10.7 Вид деятельности «Руководства»

10.8 Вид деятельности «Тестирование»

11 Оценка по ОУД2

11.1 Введение


11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.5 Вид деятельности «Поставка и эксплуатация»

11.6 Вид деятельности «Разработка»

11.7 Вид деятельности «Руководства»

11.8 Вид деятельности «Тестирование»

11.9 Вид деятельности «Оценка уязвимостей»

12 Оценка по ОУД3

12.1 Введение


12.2 Цели

12.3 Организация оценки по ОУД3

12.4 Вид деятельности «Управление конфигурацией»

12.5 Вид деятельности «Поставка и эксплуатация»

12.6 Вид деятельности «Разработка»

12.7 Вид деятельности «Руководства»

12.8 Вид деятельности «Поддержка жизненного цикла»

12.9 Вид деятельности «Тестирование»

12.10 Вид деятельности «Оценка уязвимостей»

13 Оценка по ОУД4

13.1 Введение


13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.5 Вид деятельности «Поставка и эксплуатация»

13.6 Вид деятельности «Разработка»

13.7 Вид деятельности «Руководства»

13.8 Вид деятельности «Поддержка жизненного цикла»

13.9 Вид деятельности «Тестирование»

13.10 Вид деятельности «Оценка уязвимостей»

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранений недостатков (ALC_FLR.1)


14.2 Оценка устранений недостатков (ALC_FLR.2)

14.3 Оценка устранений недостатков (ALC_FLR.3)

Приложение А (обязательное) Общие указания по оценке

А.1 Цели


А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.5 Посещение объектов

А.6 Границы объекта оценки

А.7 Угрозы и требования класса FPT

А.8 Стойкость функций безопасности и анализ уязвимостей

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам






Ремонт фольксваген туарег в москве прайс на ремонт remont-touareg.ru.






11.4 Вид деятельности «Управление конфигурацией»

Цель вида деятельности «Управление конфигурацией» состоит в том, чтобы помочь потребителю в идентификации оцененного ОО и удостовериться, что элементы конфигурации уникально идентифицированы.

11.4.1 Оценка возможностей УК (ACM_CAP.2)

11.4.1.1 Цели

Цель данного подвида деятельности — сделать заключение, четко ли разработчик идентифицировал ОО и связанные с ним элементы конфигурации.

11.4.1.2 Исходные данные

Свидетельства оценки для этого подвида деятельности:

a) ЗБ;

b) ОО, пригодный для тестирования;

c) документация управления конфигурацией.

11.4.1.3 Замечания по применению

Этот компонент содержит неявное действие оценщика, чтобы установить, что система УК используется. Поскольку требования данного компонента ограничены идентификацией ОО и условием наличия списка конфигурации, это действие уже охвачено и ограничивается приведенными ниже шагами оценивания. Требования, изложенные в компоненте ACM_CAP.3 «Средства контроля авторизации», выходят за рамки этих двух составляющих, и поэтому будет необходимо более явное свидетельство использования системы УК.

11.4.1.4 Действие ACM_CAP.2.1E

11.4.1.4.1 Шаг оценивания 2:ACM_CAP.2-1

ИСО/МЭК 15408-3 ACM_CAP.2.1C: Маркировка ОО должна быть уникальна для каждой версии ОО.

Оценщик должен проверить, что версия ОО, представленная для оценки, уникально маркирована.

Оценщику следует использовать систему УК, применяемую разработчиком, для подтверждения уникальности маркировки, проверяя список конфигурации с целью удостовериться, что элементы конфигурации уникально идентифицированы. Свидетельство уникальной маркировки версии ОО, представленной для оценки, может оказаться неполным, если во время оценки была исследована только одна версия; поэтому оценщику необходимо выяснить систему маркирования, которая может поддерживать уникальную маркировку (например, используя цифры, буквы или даты). Тем не менее, отсутствие какой-либо маркировки обычно будет приводить к отрицательному вердикту по этому требованию, пока оценщик не будет уверен в возможности уникальной идентификации ОО.

Оценщику следует стремиться исследовать несколько версий ОО (например, полученных в ходе доработки после обнаружения уязвимости) для проверки того, что любые две версии маркированы по-разному.

11.4.1.4.2 Шаг оценивания 2:ACM_CAP.2-2

ИСО/МЭК 15408-3 ACM_CAP.2.2C: ОО должен быть помечен маркировкой.

Оценщик должен проверить, что ОО, представленный для оценки, имеет собственную маркировку.

Оценщику следует удостовериться, что ОО содержит уникальную маркировку, позволяющую различать разные версии ОО. Этого можно достичь, используя помеченную упаковку или носители, или же метку, отображаемую ОО при функционировании, что предоставляет потребителю возможность идентификации ОО (например, в месте приобретения или использования).

ОО может предоставить способ, посредством которого он может быть легко идентифицирован. Например, программный ОО может отображать свое наименование и номер версии при запуске программы или в ответ на запрос через командную строку. Аппаратный или программно-аппаратный ОО может быть идентифицирован путем физического нанесения на нем соответствующего номера.

11.4.1.4.3 Шаг оценивания 2:ACM_CAP.2-3

Оценщик должен проверить непротиворечивость используемой маркировки ОО.

Если ОО помечен несколько раз, то необходима согласованность меток. Например, должна быть возможность связать любое помеченное руководство, поставляемое в составе ОО, с оцененным функционирующим ОО. Таким образом обеспечивается уверенность потребителя в том, что он приобрел оцененную версию ОО, установил эту же версию и располагает надлежащей версией руководства, необходимой для эксплуатации данного ОО в соответствии с его ЗБ. Оценщик может использовать список конфигурации, который является частью представленной документации УК, чтобы верифицировать согласованное использование идентификаторов.

Оценщик также верифицирует, что маркировка ОО согласована с ЗБ.

Руководство по анализу непротиворечивости см. в А.3 «Анализ непротиворечивости» (приложение А).

11.4.1.4.4 Шаг оценивания 2:ACM_CAP.2-4

ИСО/МЭК 15408-3 ACM_CAP.2.3C: Документация УК должна включать в себя список конфигурации.

Оценщик должен проверить, что представленная документация УК включает в себя список конфигурации.

Список конфигурации идентифицирует элементы, находящиеся под управлением конфигурацией.

11.4.1.4.5 Шаг оценивания 2:ACM_CAP.2-5

ИСО/МЭК 15408-3 ACM_CAP.2.4C: Список конфигурации должен уникально идентифицировать все элементы конфигурации, входящие в ОО.

Оценщик должен проверить, что список конфигурации уникально идентифицирует каждый элемент конфигурации.

Список конфигурации содержит список элементов конфигурации, которые составляют ОО, вместе с достаточной информацией для уникальной идентификации, какая версия каждого элемента была использована (обычно номер версии). Использование этого списка позволит оценщику проверить, что во время оценки были использованы соответствующие элементы конфигурации и соответствующая версия каждого элемента.

11.4.1.4.6 Шаг оценивания 2:ACM_CAP.2-6

ИСО/МЭК 15408-3 ACM_CAP.2.5C: Список конфигурации должен содержать описание элементов конфигурации, входящих в ОО.

Оценщик должен исследовать список конфигурации, чтобы сделать заключение, что он идентифицирует элементы конфигурации, входящие в состав ОО.

Минимальный состав элементов конфигурации, которые необходимо включить в список конфигурации, задается требованиями семейства ACM_SCP «Область УК». Если компоненты из семейства ACM_SCP «Область УК» не используются, оценщику следует оценить адекватность списка конфигурации на основе подхода, принятого разработчиком к УК, ориентируясь в качестве максимальных требований на требования компонента ACM_SCP1 «Охват УК объекта оценки» (так как было бы необоснованно ожидать большего, чем требуется в данном компоненте). Например, в случае внесения изменения в ОО или в какой-либо элемент документации оценщик может определить или выяснить, на каком уровне детализации перевыпущен данный элемент. Эта степень детализации должна соответствовать элементам конфигурации, которые находятся в списке конфигурации.

11.4.1.4.7 Шаг оценивания 2:ACM_CAP.2-7

ИСО/МЭК 15408-3 ACM_CAP.2.6C: Документация УК должна содержать описание метода, используемого для уникальной идентификации элементов конфигурации, входящих в ОО.

Оценщик должен исследовать способ идентификации элементов конфигурации, чтобы сделать заключение, что он описывает, каким образом элементы конфигурации идентифицируют уникально.

11.4.1.4.8 Шаг оценивания 2:ACM_CAP.2-8

ИСО/МЭК 15408-3 ACM_CAP.2.7C: Система УК должна уникально идентифицировать все элементы конфигурации, входящие в ОО.

Оценщик должен исследовать элементы конфигурации с целью сделать заключение, что способ их идентификации соответствует документации УК.

Доверие к тому, что система УК однозначно идентифицирует все элементы конфигурации, должно быть достигнуто путем изучения идентификаторов элементов конфигурации. Как для элементов конфигурации, которые составляют ОО, так и для проектов элементов конфигурации, которые представлены разработчиком в качестве свидетельств оценки, оценщик подтверждает, что каждый элемент конфигурации обладает уникальным идентификатором в соответствии с методом уникальной идентификации, описанным в документации УК.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary