Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 8 ноября 2013 г. N 1339-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ЧАСТЬ 2
ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ БЕЗОПАСНОСТИ
Information technology. Security techniques.
Evaluation criteria for IT security.
Part 2. Security functional components
ISO/IEC 15408-2:2008
Information technology - Security techniques -
Evaluation criteria for IT security -
Part 2. Security functional components
(IDT)
ГОСТ Р ИСО/МЭК 15408-2-2013
Группа П85
ОКС 35.040
ОКСТУ 4002
Дата введения
1 сентября 2014 года
Предисловие
1. Подготовлен Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ"), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России").
2. Внесен Техническим комитетом по стандартизации "Защита информации" ТК 362.
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. N 1339-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 15408-2:2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" (ISO/IEC 15408-2:2008 "Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Взамен ГОСТ Р ИСО/МЭК 15408-2-2008.
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
Введение
Международный стандарт ISO/IEC 15408:2008 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1 "Информационные технологии", Подкомитетом SC 27 "Методы и средства обеспечения безопасности ИТ". Идентичный ISO/IEC 15408 текст опубликован организациями - спонсорами проекта "Общие критерии" как "Общие критерии оценки безопасности информационных технологий".
Третья редакция стандарта отменяет и заменяет вторую редакцию (ISO/IEC 15408:2005), которая подверглась технической переработке.
ИСО/МЭК 15408, идентичный ISO/IEC 15408:2008, состоит из следующих частей под общим заголовком "Информационная технология - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий":
- Часть 1: Введение и общая модель;
- Часть 2: Функциональные компоненты безопасности;
- Часть 3: Компоненты доверия к безопасности.
Функциональные компоненты безопасности, которые определены в данной части ИСО/МЭК 15408, являются основой для функциональных требований безопасности, отражаемых в профиле защиты (ПЗ) или задании по безопасности (ЗБ). Эти требования описывают необходимый режим функционирования объекта оценки (ОО) и направлены на достижение целей безопасности, определяемых в ПЗ или ЗБ. Эти требования описывают свойства безопасности, которые могут выявить пользователи путем непосредственного взаимодействия с ИТ (т.е. при вводе, выводе информации) или по отклику ИТ на некоторое воздействие.
Функциональные компоненты безопасности отражают требования безопасности, направленные на противодействие угрозам в предполагаемой среде функционирования ОО и выполнение принятых в организации политик и предположений безопасности.
Этот международный стандарт предназначается для потребителей, разработчиков и оценщиков продуктов, обеспечивающих безопасность ИТ. В пятом разделе стандарта ИСО/МЭК 15408-1 предоставлена дополнительная информация о целевой аудитории ИСО/МЭК 15408, а также по использованию ИСО/МЭК 15408 отдельными группами лиц, составляющими целевую аудиторию. Эти группы могут использовать данную часть ИСО/МЭК 15408 следующим образом:
a) потребители могут использовать данную часть ИСО/МЭК 15408 для выбора компонентов, выражающих функциональные требования для удовлетворения целей безопасности, отраженных в ПЗ или ЗБ. В ИСО/МЭК 15408-1 дается более детальная информация по поводу взаимосвязи между целями и требованиями безопасности;
b) разработчики, которые при производстве ОО учитывают существующие предполагаемые требования безопасности потребителей, могут найти в данной части ИСО/МЭК 15408 стандартизованный метод понимания этих требований. Также они могут использовать данную часть ИСО/МЭК 15408 как основу для дальнейшего определения функциональных возможностей и механизмов безопасности ОО, соответствующих этим требованиям;
c) оценщики могут использовать функциональные требования, определенные в данной части ИСО/МЭК 15408, для подтверждения того, что функциональные требования к ОО, отраженные в ПЗ и ЗБ, удовлетворяют целям безопасности ИТ, а все зависимости учтены и продемонстрировано их удовлетворение. Также оценщикам следует использовать данную часть ИСО/МЭК 15408 при вынесении заключения о том, удовлетворяет ли данный ОО предъявляемым к нему требованиям.
1. Область применения
Настоящий стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает в себя каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов ИТ.
2. Нормативные ссылки
Указанные в данном разделе документы являются необходимыми для применения настоящего стандарта. Для датированных ссылок используют только указанное издание. Для недатированных ссылок - последнее издание со всеми изменениями и дополнениями.
ИСО/МЭК 15408-1, Информационная технология - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель.
3. Термины и определения, обозначения и сокращения
В настоящем стандарте применяются термины, определения, обозначения и сокращения, приведенные в ИСО/МЭК 15408-1.
4. Краткий обзор
ИСО/МЭК 15408 и соответствующие функциональные требования безопасности, описанные ниже, не предназначены для окончательного решения всех задач безопасности ИТ. Скорее, настоящий стандарт предлагает совокупность хорошо продуманных функциональных требований безопасности, которые могут применяться при создании доверенных продуктов ИТ, отвечающих потребностям рынка. Эти функциональные требования безопасности представляют современный уровень спецификации требований и оценки.
В настоящий стандарт не предполагалось включать все возможные функциональные требования безопасности, а только те из них, которые на дату издания стандарта были известны и одобрены его разработчиками.
Так как знания и потребности пользователей могут изменяться, функциональные компоненты настоящего стандарта нуждаются в дальнейшем сопровождении. Предполагается, что некоторые разработчики ПЗ/ЗБ могут иметь потребности в безопасности, не охваченные в настоящее время компонентами функциональных требований настоящего стандарта. В этом случае разработчик ПЗ/ЗБ может предпочесть использование нестандартных функциональных требований (так называемую "расширяемость"), как объяснено в приложениях A и B ИСО/МЭК 15408-1.
4.1. Структура данной части ИСО/МЭК 15408
В разделе 5 описывается парадигма, используемая в функциональных компонентах безопасности данной части ИСО/МЭК 15408.
Раздел 6 представляет каталог функциональных компонентов.
В разделах 7 - 17 приведено описание функциональных классов.
Приложение A содержит пояснительную информацию для потенциальных пользователей функциональных компонентов, включая таблицы перекрестных ссылок зависимостей функциональных компонентов.
Приложения B - M представляют пояснительную информацию для функциональных классов. Этот материал должен рассматриваться в качестве нормативных инструкций по применению соответствующих операций и выбору необходимой информации для аудита и документирования; использование вспомогательного глагола "следует" означает, что конкретная инструкция является предпочтительной, но и другие могут быть обоснованы. Когда даются различные варианты, выбор остается за автором ПЗ/ЗБ.
ИСО/МЭК 15408-1 содержит следующую информацию, необходимую разработчикам ПЗ или ЗБ:
- термины, используемые в стандарте, определены в разделе 3 ИСО/МЭК 15408-1;
- структура ЗБ приведена в приложении A к ИСО/МЭК 15408-1;
- структура ПЗ приведена в приложении B к ИСО/МЭК 15408-1.
5. Парадигма функциональных требований
В данном разделе приведена парадигма функциональных требований безопасности настоящего стандарта. Рассматриваемые ключевые понятия выделены полужирным курсивом. Определения терминов, приведенные в разделе 3 ИСО/МЭК 15408-1, в этом разделе не изменяются и не заменяются.
Настоящий стандарт содержит каталог функциональных компонентов безопасности, которые могут быть предъявлены к объекту оценки (ОО). ОО - это набор программных, аппаратно-программных и/или аппаратных средств, сопровождаемый руководствами пользователя и администратора. ОО может включать ресурсы в виде электронных носителей данных (таких, как основная память, дисковое пространство), периферийных устройств (таких, как принтеры) и вычислительных
Для просмотра документа целиком скачайте его >>>
