Нормативная документация
ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

Содержание

Предисловие

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения


4 Обозначения и сокращения

5 Краткий обзор


6 Принятые соглашения

7 Общие задачи оценки

7.1 Введение


7.2 Задача получения исходных данных для оценки

7.3 Задача оформления результатов оценки

8 Оценка профиля защиты

8.1 Введение


8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

9 Оценка задания по безопасности

9.1 Введение


9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

10 Оценка по ОУД1

10.1 Введение


10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.5 Вид деятельности «Поставка и эксплуатация»

10.6 Вид деятельности «Разработка»

10.7 Вид деятельности «Руководства»

10.8 Вид деятельности «Тестирование»

11 Оценка по ОУД2

11.1 Введение


11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.5 Вид деятельности «Поставка и эксплуатация»

11.6 Вид деятельности «Разработка»

11.7 Вид деятельности «Руководства»

11.8 Вид деятельности «Тестирование»

11.9 Вид деятельности «Оценка уязвимостей»

12 Оценка по ОУД3

12.1 Введение


12.2 Цели

12.3 Организация оценки по ОУД3

12.4 Вид деятельности «Управление конфигурацией»

12.5 Вид деятельности «Поставка и эксплуатация»

12.6 Вид деятельности «Разработка»

12.7 Вид деятельности «Руководства»

12.8 Вид деятельности «Поддержка жизненного цикла»

12.9 Вид деятельности «Тестирование»

12.10 Вид деятельности «Оценка уязвимостей»

13 Оценка по ОУД4

13.1 Введение


13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.5 Вид деятельности «Поставка и эксплуатация»

13.6 Вид деятельности «Разработка»

13.7 Вид деятельности «Руководства»

13.8 Вид деятельности «Поддержка жизненного цикла»

13.9 Вид деятельности «Тестирование»

13.10 Вид деятельности «Оценка уязвимостей»

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранений недостатков (ALC_FLR.1)


14.2 Оценка устранений недостатков (ALC_FLR.2)

14.3 Оценка устранений недостатков (ALC_FLR.3)

Приложение А (обязательное) Общие указания по оценке

А.1 Цели


А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.5 Посещение объектов

А.6 Границы объекта оценки

А.7 Угрозы и требования класса FPT

А.8 Стойкость функций безопасности и анализ уязвимостей

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам













А.9 Сфера ответственности системы оценки

Настоящий стандарт описывает минимальный объем технической работы, которую необходимо выполнить при оценках, проводимых под контролем органов оценки. Тем не менее, в нем также указаны (как явно, так и неявно) виды деятельности или методы, на которые не распространяется взаимное признание результатов оценки. Для внесения ясности и в целях уточнения границ, показывающих, где заканчивается настоящий стандарт и где начинается методология конкретной системы оценки, ниже перечислены вопросы, оставленные на усмотрение систем. В конкретной системе оценки возможно как решение всех указанных вопросов, так и оставление некоторых из них неопределенными. (Было сделано все возможное для обеспечения полноты приведенного списка; оценщикам, столкнувшимся с вопросом, не приведенным ниже и не рассмотренным в настоящем стандарте, следует проконсультироваться в своей системе оценки, чтобы выяснить, к чьей компетенции относится решение этого вопроса.)

К вопросам, которые могут быть определены в конкретной системе оценки, относятся:

a) необходимое для обеспечения достаточности оценки — каждая система имеет способ (средства) верификации работы ее оценщиков, либо требуя от оценщиков представления результатов работы органу оценки, либо требуя от органа оценки повторения работы оценщика, либо еще каким-то способом, обеспечивающим, что все органы оценки выполняют работу приемлемым образом и выдают сопоставимые результаты;

b) процесс распоряжения свидетельствами оценки после завершения оценки;

c) требования по конфиденциальности (как со стороны оценщика, так и относительно неразглашения информации, полученной в процессе оценки);

d) действия, предпринимаемые при возникновении проблем в процессе оценки (после решения проблемы процесс оценки либо возобновляется, либо немедленно прекращается и исправленный продукт необходимо заново представить для оценки);

e) конкретный (естественный) язык, на котором необходимо представить документацию;

f) документальные свидетельства, которые необходимо представить в составе ТОО; настоящий стандарт определяет минимум, который следует привести в ТОО, а в конкретных системах оценки возможно требование включения дополнительной информации;

g) дополнительные отчеты (помимо ТОО), требуемые от оценщиков, например отчеты о тестировании;

h) любые специфические СП, которые могут потребоваться в соответствии с системой, включая структуру, получателей и т.д. для таких СП;

i) структура конкретного содержания документальных сообщений (отчетов), разрабатываемых при оценке ЗБ, — система оценки может иметь установленный формат для всех сообщений (отчетов), детализирующих результаты оценки, будь это оценка ОО или ЗБ;

j) любая требуемая дополнительно информация по идентификации ПЗ/ЗБ;

k) любые виды деятельности по принятию решения о пригодности сформулированных в явном виде требований в ЗБ;

l) любые требования по подготовке свидетельства оценщика для поддержки переоценки и повторного применения свидетельств;

m) любые конкретные способы применения идентификаторов, эмблем, торговых марок и т.д. системы оценки;

n) любые конкретные указания по применению криптографии;

o) способы трактовки и применения системы оценки, национальных и международных интерпретаций;

p) перечень или описание приемлемых альтернатив тестированию там, где тестирование неосуществимо;

q) механизм, посредством которого орган оценки может определить, какие шаги оценщик предпринял при тестировании;

r) предпочтительный подход при тестировании (если таковой имеется): на внутреннем интерфейсе или на внешнем интерфейсе;

s) перечень или характеристика приемлемых способов (средств) проведения оценщиком анализа уязвимостей (например, методология гипотез о недостатках);

t) информация относительно любых уязвимостей и недостатков, которые необходимо учитывать при оценке.




Далее >>>



|   Главная   |   Законы   |   ГОСТ   |   РД   |   Требования   |   Пособия   |   Рекомендации   |   Перечни   |

books on zlibrary