RuNormy.RU
Untitled Page
RuNormy.RU
Untitled Page
"ГОСТ Р ИСО/МЭК 18045-2013. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий"
Скачать текст бесплатно в формате MS Word
Поделитесь данным материалом с друзьями:

Скачать
Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 28 августа 2013 г. N 624-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Information technology - Security techniques -
Methodology for IT security evaluation

ISO/IEC 18045:2008
Information technology - Security techniques -
Methodology for IT security evaluation
(IDT)

ГОСТ Р ИСО/МЭК 18045-2013

Группа П85

ОКС 35.040

ОКСТУ 4002

Дата введения
1 июля 2014 года

Предисловие

1. Подготовлен Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ"), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России").
2. Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 28 августа 2013 г. N 624-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 18045:2008 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий" ("ISO/IEC Information technology - Security techniques - Methodology for IT security evaluation").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Взамен ГОСТ Р ИСО/МЭК 18045-2008.

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).

Введение

Международный стандарт ISO/IEC 18045:2008 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1 "Информационные технологии", Подкомитетом SC 27 "Методы и средства обеспечения безопасности ИТ". Идентичный ISO/IEC 18045:2008 текст опубликован организациями - спонсорами проекта "Общие критерии" как "Общая методология оценки безопасности информационных технологий".
Потенциальные пользователи этого международного стандарта - прежде всего оценщики, применяющие ИСО/МЭК 15408 (здесь и далее, если не указывается конкретная часть стандарта, то ссылка относится ко всем частям ИСО/МЭК 15408), и органы по сертификации, подтверждающие действия оценщика, а также заявители оценки, разработчики, авторы ПЗ/ЗБ и другие стороны, заинтересованные в безопасности ИТ.
Этот международный стандарт признает, что не на все вопросы оценки безопасности ИТ здесь представлены ответы и что дальнейшие интерпретации будут необходимы. В конкретных системах оценки решат, как обращаться с такими интерпретациями, хотя они могут быть подчинены соглашениям о взаимном признании. Список связанных с методологией вопросов, которые могут определяться в конкретной системе оценки, приведен в Приложении A.
Вторая редакция стандарта отменяет и заменяет первую редакцию (ГОСТ Р ИСО/МЭК 18045:2007), которая подверглась технической переработке.

1. Область применения

Настоящий стандарт - документ, сопровождающий ИСО/МЭК 15408 "Информационная технология - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий". Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
Настоящий стандарт не определяет действия оценщика для некоторых компонентов высокого доверия ИСО/МЭК 15408, по оценке которых пока нет единых согласованных руководств.

2. Нормативные ссылки

Указанные в данном разделе документы являются необходимыми для применения настоящего стандарта. Для датированных ссылок используют только указанное издание. Для недатированных ссылок - последнее издание со всеми изменениями и дополнениями.
ИСО/МЭК 15408 (все части). Информационная технология - Методы и средства обеспечения безопасности - Критерии оценки безопасности ИТ [ISO/IEC 15408 (all parts). Information technology - Security techniques - Evaluation criteria for IT security].

3. Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:
Примечание. Для терминов, выделенных в тексте определений полужирным шрифтом, в данном разделе даны собственные определения.

3.1. Действие (action): элемент действий оценщика из ИСО/МЭК 15408-3.
Примечание. Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов требований доверия из ИСО/МЭК 15408-3.

3.2. Вид деятельности (activity): применение класса требований доверия из ИСО/МЭК 15408-3.
3.3. Проверить (check): вынести вердикт посредством простого сравнения.
Примечание. Специальные знания и опыт оценщика не требуются. В формулировке, в которой используется этот глагол, описывается то, что сравнивается.

3.4. Поставка для оценки (evaluation deliverable): любой ресурс, который оценщик или орган оценки требует от заявителя или разработчика для выполнения одного или нескольких видов деятельности по проведению оценки или по надзору за оценкой.
3.5. Свидетельство оценки (evaluation evidence): фактическая поставка для оценки.
3.6. Технический отчет об оценке (evaluation technical report): отчет, выпущенный оценщиком и представленный в орган оценки, в котором приводится общий вердикт и его логическое обоснование.
3.7. Исследовать (examine): вынести вердикт на основе анализа с использованием специальных знаний и опыта оценщика.
Примечание. Формулировка, в которой используется этот глагол, указывает на то, что конкретно и какие свойства подвергаются анализу.

3.8. Интерпретация (interpretation): разъяснение или расширение требования ИСО/МЭК 15408, ИСО/МЭК 18045 или системы оценки.
3.9. Методология (methodology): система принципов, процедур и процессов, применяемых для оценки безопасности ИТ.
3.10. Сообщение о проблеме (observation report): сообщение, документально оформленное оценщиком, в котором он просит разъяснений или указывает на возникшую при оценке проблему.
3.11. Общий вердикт (overall verdict): положительный или отрицательный вывод оценщика по результатам оценки.
3.12. Вердикт органа оценки (oversight verdict): вывод органа оценки, подтверждающий или отклоняющий общий вердикт, который основан на результатах деятельности по надзору за оценкой.
3.13. Зафиксировать (record): сохранить в документальной форме описания процедур, событий, данных наблюдений, предположений и результатов на уровне детализации, достаточном для обеспечения возможности воспроизведения процесса выполнения оценки в будущем.
3.14. Привести в отчете (сообщении) (report): включить результаты оценки и вспомогательные материалы в технический отчет об оценке или в сообщение о проблеме.
3.15. Система оценки (scheme): совокупность правил, установленных органом оценки и определяющих среду оценки, включая критерии и методологию, требуемые для проведения оценки безопасности ИТ.
3.16. Подвид деятельности (sub-activity): применение компонента требований доверия из ИСО/МЭК 15408-3.
Примечание. Семейства требований доверия прямо не рассматриваются в настоящем стандарте, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства.

3.17. Прослеживание (tracing): однонаправленная связь между двумя совокупностями сущностей, которая показывает, какие сущности в первой совокупности каким сущностям из второй соответствуют.
3.18. Вердикт (verdict): вывод оценщика положительный, отрицательный или неокончательный применительно к некоторому элементу действий оценщика, компоненту или классу требований доверия из ИСО/МЭК 15408.
Примечание. См. также общий вердикт.

3.19. Шаг оценивания (work unit): наименьшая структурная единица работ по оценке.
Примечание. Каждое действие в методологии оценки включает один или несколько шагов оценивания, которые объединены в пределах этого действия методологии оценки согласно элементу содержания и представления свидетельств или элементу действий разработчика. Шаги оценивания представлены в настоящем стандарте в том же порядке, что и элементы ИСО/МЭК 15408, из которых они следуют. Шаги оценивания идентифицированы условным обозначением типа ALC_TAT.1-2. В этом обозначении последовательность символов ALC_TAT.1 указывает на компонент ИСО/МЭК 15408 (т.е. на подвид деятельности из настоящего стандарта), а завершающая цифра (2) указывает, что это второй шаг оценивания в подвиде деятельности ALC_TAT.1.

4. Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:
ЗБ (ST) - задание по безопасности
ИТ (IT) - информационная технология
ИФБО (TSFI) - интерфейс ФБО
ОО (TOE) - объект оценки
Для просмотра документа целиком скачайте его >>>
Нормы из информационного банка "Строительство":
Пожарные нормы:
ГОСТы:
Счетчики:
Политика конфиденциальности
Copyright 2020 - 2022 гг. RuNormy.RU. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!