Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 1 декабря 2011 г. N 691-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ОСНОВЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ЧАСТЬ 3
АНАЛИЗ МЕТОДОВ ДОВЕРИЯ
Information technology. Security techniques.
A framework for IT security assurance. Part 3. Analysis
of assurance methods
ISO/IEC TR 15443-3:2007
Information technology - Security techniques -
A framework for IT security assurance - Part 3: Analysis
of assurance methods
(IDT)
ГОСТ Р 54583-2011/
ISO/IEC/TR 15443-3:2007
ОКС 35.040
Дата введения
1 декабря 2012 года
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
Сведения о стандарте
1. Подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности" (ООО "ЦБИ") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4.
2. Внесен Техническим комитетом по стандартизации ТК-362 "Защита информации".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 691-ст.
4. Настоящий стандарт идентичен международному документу ISO/IEC TR 15443-3:2007 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия" (ISO/IEC TR 15443-3:2007 ("Information technology - Security techniques - A framework for IT security assurance - Part 3: Analysis of assurance methods").
5. Введен впервые.
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
Введение
Назначением ИСО/МЭК ТО 15443 является представление различных методов обеспечения доверия и содействие специалистам в области ИТ в выборе соответствующего метода обеспечения доверия (или комбинации методов) с целью получения уверенности в том, что оцениваемый объект удовлетворяет установленным для него требованиям доверия к безопасности ИТ. В ИСО/МЭК ТО 15443 изучаются подходы и методы обеспечения доверия, предложенные организациями различного типа, независимо от того, являются ли эти методы и подходы частью утвержденных или неофициальных стандартов.
ИСО/МЭК ТО 15443 рассматривает:
- структурную модель взаимосвязи существующих методов обеспечения доверия;
- совокупность методов обеспечения доверия, их описание и ссылки на них;
- представление общих и уникальных свойств, присущих методам обеспечения доверия;
- качественное и по возможности количественное сравнение существующих методов обеспечения доверия;
- идентификацию систем оценки доверия, связанных с методами обеспечения доверия;
- описание взаимосвязей между различными методами обеспечения доверия;
- руководство по созданию, применению и идентификации методов обеспечения доверия.
ИСО/МЭК ТО 15443 состоит из трех частей:
- часть 1. Обзор и основы; представляет собой обзор фундаментальных концепций и общее описание методов обеспечения доверия. Данный материал способствует пониманию частей 2 и 3 ИСО/МЭК ТО 15443. Часть 1 предназначена для руководителей в области безопасности, ответственных за разработку программы обеспечения доверия к безопасности, определение степени доверия к безопасности своих объектов, осуществление проверки оценки степени доверия [например, ИСО 9000, SSE-CMM (ИСО/МЭК 21827), ИСО/МЭК 15408-3] или других видов деятельности по обеспечению доверия;
- часть 2. Методы доверия; приводится описание различных методов обеспечения доверия и подходов их связи со структурной моделью обеспечения доверия к безопасности из части 1. Акцент делается на идентификацию качественных характеристик методов обеспечения доверия. Данный документ способствует пониманию специалистом в области безопасности ИТ процедуры получения доверия на различных этапах жизненного цикла объекта;
- часть 3. Анализ методов доверия; приводится анализ обеспечения доверия относительно их различных характеристик. Анализ способствует принятию органом обеспечения доверия решения по относительной значимости каждого подхода к обеспечению доверия и выбору подхода(ов), который(е) обеспечит(ат) результаты, наиболее соответствующие требованиям этого органа. Анализ также способствует органу обеспечения доверия в использовании результатов доверия для получения требуемой уверенности в объекте. Данный документ предназначен для специалистов в области безопасности ИТ, которые должны осуществить выбор методов обеспечения доверия и подходов к ним.
В ИСО/МЭК ТО 15443 анализируются методы обеспечения доверия, которые могут предназначаться не только для безопасности ИТ; однако руководство, приведенное в ИСО/МЭК ТО 15443, ограничивается требованиями к безопасности ИТ. В ИСО/МЭК ТО 15443 включены дополнительные термины и понятия, регламентированные в других инициативах международной стандартизации (CASCO) и международных руководствах (например, в Руководстве 2 ИСО/МЭК), однако представленное в ИСО/МЭК ТО 15443 руководство предназначено только для области обеспечения безопасности ИТ и не предназначено для общего менеджмента и оценки качества или обеспечения соответствия ИТ требованиям безопасности.
1. Область применения
1.1. Назначение
Назначением настоящего стандарта является предоставление органу по обеспечению доверия общего руководства по выбору подходящего метода обеспечения доверия к информационным и коммуникационным технологиям и формированию структуры анализа конкретных методов обеспечения доверия в конкретных условиях.
1.2. Применение
Настоящий стандарт позволяет пользователю согласовывать конкретные требования доверия и/или типичные ситуации с доверием с общими характеристиками имеющихся методов обеспечения доверия.
1.3. Область применения
Руководство, представленное в настоящем стандарте, применимо для разработки, внедрения и эксплуатации продуктов и систем информационных и коммуникационных технологий с требованиями безопасности.
1.4. Недостатки
Требования безопасности могут быть слишком сложными, методы обеспечения доверия - очень разнородными, а ресурсы и корпоративные культуры организаций могут в значительной степени отличаться друг от друга.
По этим причинам руководство, приведенное в настоящем стандарте, является кратким и относится к качественным характеристикам, и пользователю следует самому принимать решение о том, какие методы в соответствии с ИСО/МЭК ТО 15443-2 лучше всего соответствуют его конкретным объектам и соответствуют требованиям безопасности организации.
2. Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК ТО 15443-1 и ИСО/МЭК ТО 15443-2, а также следующие термины с соответствующими определениями.
2.1. активы (assets): Все, имеющее ценность для организации.
2.2. оценка (assessment): Систематическая проверка степени, в которой субъект способен выполнить определенные требования; является синонимом термина "оценивание" при применении к объекту.
[ISO/IEC 14598-1].
2.3. метод оценки (assessment method): Действие по применению конкретных документированных критериев оценки к объекту с целью определения приемлемости или разрешения на выпуск этого объекта.
2.4. орган обеспечения доверия (assurance authority): Лицо или организация, уполномоченные принимать решения (например, по выбору, спецификации, принятию, контролю за исполнением), связанные с обеспечением доверия к объекту, что однозначно приводит к формированию уверенности в безопасности объекта.
Примечание. В конкретных системах и организациях термин "орган обеспечения доверия" может иметь вид "орган оценки".
2.5. администратор доверия (assurance administrator): Лицо, ответственное (подотчетное) за выбор, внедрение или приемку объекта.
2.6. цель обеспечения доверия (assurance goal): Общие ожидаемые результаты в области безопасности, получаемые посредством применения действий по формальной и неформальной оценке.
2.7. предмет обеспечения доверия (assurance concern): Общий тип цели доверия, выполняемой главной группой органов доверия.
Примечание. В настоящем стандарте предмет доверия используется в целях обоснования анализов и выводов для руководства по обеспечению доверия, данного группе пользователей.
2.8. объект (deliverable): Продукт безопасности информационной технологии, система, услуга, процесс или в особенности фактор среды (то есть персонал, организация) как объект оценки доверия.
Примечания. 1. Как определено ИСО/МЭК 15408-1, объектом может быть профиль защиты (ПЗ) или задание по безопасности (ЗБ).
2. В ИСО 9000 утверждается, что при использовании стандартов ИСО 9000 услугой является тип продукта или "продукта и/или услуги".
3. В настоящем стандарте и аналогично применению в ИСО 9000 термин "продукт" будет применяться вместо термина "объект" во всех частях ИСО/МЭК ТО 15443.
2.9. среда (environment): Условия, в которых выполняются процессы жизненного цикла (то есть люди, оборудование и другие ресурсы), и связанные с этими
Для просмотра документа целиком скачайте его >>>
