Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 18 декабря 2008 г. N 525-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ОЦЕНКА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Information technology. Security techniques.
Security assessment of operational systems
ISO/IEC TR 19791:2006
Information technology - Security techniques -
Security assessment of operational systems
(IDT)
ГОСТ Р ИСО/МЭК ТО 19791-2008
Группа Т00
ОКС 35.040
Дата введения
1 октября 2009 года
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
Сведения о стандарте
1. Подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ") на основе собственного аутентичного перевода стандарта, указанного в пункте 5.
2. Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 525-ст.
4. Введен впервые.
5. Настоящий стандарт идентичен международному стандарту ИСО/МЭК/ТО 19791:2006 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем" (ISO/IEC/TR 19791:2006 "Information technology - Security techniques - Security assessment of operational systems").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении E.
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
Введение
Настоящий стандарт содержит дополнительные правила (процедуры) к международным стандартам ИСО/МЭК 15408-1, ИСО/МЭК 15408-2, ИСО/МЭК 15408-3 (далее - стандарты серии ИСО/МЭК 15408) в интересах оценки (оценивания) безопасности автоматизированных систем. Требования, установленные в стандартах серии ИСО/МЭК 15408, обеспечивают задание и определение функциональных возможностей безопасности продуктов и систем, входящих в состав информационных технологий. Однако стандарты серии ИСО/МЭК 15408 не рассматривают некоторые критические (важные) аспекты безопасности автоматизированной системы, которые должны быть четко специфицированы для их эффективного оценивания.
Настоящий стандарт содержит дополнительные критерии оценки и рекомендации по оценке аспектов безопасности, связанных как с информационными технологиями, так и с применением их в автоматизированных системах. Настоящий стандарт прежде всего предназначен для тех, кто связан с разработкой, интеграцией, развертыванием и управлением безопасностью автоматизированных систем, а также для организаций, оказывающих услуги по оценке, пытающихся применить требования стандартов серии ИСО/МЭК 15408 к подобным системам. Настоящий стандарт будет также необходим органам, осуществляющим оценку соответствия, ответственным за утверждение и подтверждение правильности действий организаций, оказывающих услуги по оценке. Заказчики оценки безопасности и другие стороны, заинтересованные в безопасности автоматизированных систем, будут дополнительными пользователями сведений общего характера в области безопасности информации.
Относительно определения и использования термина "система" существуют фундаментальные проблемы. В стандартах серии ИСО/МЭК 15408, целью которых является оценка продуктов информационных технологий, термин "система" используется для учета только аспектов информационных технологий конкретной системы. Определение термина "автоматизированная система", используемого в настоящем стандарте, включает в себя совокупность персонала, процедур и процессов, интегрированных с функциями и механизмами информационных технологий, применяемых совместно, чтобы установить приемлемый уровень остаточного риска в установленной среде функционирования автоматизированной системы.
1. Область применения
Настоящий стандарт содержит рекомендации и критерии оценки безопасности автоматизированных систем (далее - АС), а также обеспечивает расширение области применения стандартов серии ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации объекта оценки и декомпозиции составных АС на домены безопасности, которые должны оцениваться отдельно.
Настоящий стандарт устанавливает:
a) определение и модель АС;
b) описание расширений концепции оценки безопасности с помощью стандартов серии ИСО/МЭК 15408, необходимых для оценки АС;
c) методологию и процесс выполнения оценки безопасности АС;
d) дополнительные критерии оценки безопасности, охватывающие те аспекты АС, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.
Настоящий стандарт дает возможность включать продукты безопасности, оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как единого целого с использованием настоящего стандарта.
Настоящий стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Настоящий стандарт не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.
2. Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие стандарты:
ИСО/МЭК 15408-1:2005. Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
ИСО/МЭК 15408-2:2005. Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
ИСО/МЭК 15408-3:2005. Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
Примечание. При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1. Компонент (component): поддающаяся идентификации отдельная часть (элемент) автоматизированной системы, которая реализует часть функциональных возможностей системы.
3.2. Внешняя автоматизированная система (external operational system): отдельная автоматизированная система, которая имеет связи с автоматизированной системой, являющейся объектом оценки.
3.3. Управленческие меры безопасности (management controls): меры безопасности информационной системы, направленные на менеджмент рисков и менеджмент информационной безопасности информационных систем.
Примечание. Меры безопасности - меры защиты и контрмеры.
3.4. Организационные меры безопасности (operational controls): меры безопасности информационной системы, которые, главным образом, реализуются и выполняются операторами, а не системами.
[НИСТ СП 800-53]
Примечание. Меры безопасности - меры защиты и контрмеры.
3.5. Автоматизированная система (operational system): информационная система, включая элементы, не связанные с информационной технологией, рассматриваемые с учетом условий ее эксплуатации.
3.6. Остаточный риск (residual risk): риск, который остается после обработки рисков.
[ИСО/МЭК 13335-1:2004]
3.7. Риск (risk): потенциальная возможность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей активов или группы активов организаций.
Примечание. Риск измеряется в терминах сочетания вероятности события и его последствий.
[ИСО/МЭК 13335-1:2004]
3.8. Анализ рисков (risk analysis): системный подход к определению величины риска.
[ИСО/МЭК 13335-1:2004]
3.9. Оценка рисков (risk assessment): процесс, включающий в себя идентификацию рисков, анализ рисков и оценивание рисков.
[ИСО/МЭК 13335-1:2004]
3.10. Менеджмент рисков (risk management): весь процесс идентификации, контроля и управления или минимизации подозрительных (неопределенных) событий, которые могут оказать негативное воздействие на ресурсы системы.
Примечание. Адаптированный термин из ИСО/МЭК 13335-1 [1]. Менеджмент рисков обычно включает в себя анализ рисков, обработку рисков, принятие
Для просмотра документа целиком скачайте его >>>
