ГОСТР
исо/мэк
18045—
2013
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ISO/IEC 18045:2008 Information technology — Security techniques — Methodology for IT security
evaluation
(IDT)
Издание официальное
Москва
Стамдартинформ
2014
ГОСТ Р ИСО/МЭК 18045—2013
Предисловие
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»). Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 августа 2013 г. №624-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 18045 2008 «Информационная технология Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» («ISO/IEC Information technology — Security techniques — Methodology for IT security evaluation»)
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО/МЭК 18045—2008
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)
© Стандартинформ. 2014
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
ГОСТ Р ИСО/МЭК 18045—2013
Содержание
1 Область применения..................................................................1
2 Нормативные ссылки..................................................................1
3 Термины и определения...............................................................1
4 Обозначения и сокращения............................................................2
5 Краткий обзор........................................................................3
5.1 Структура стандарта...............................................................3
6 Принятые соглашения.................................................................3
6.1 Терминология....................................................................3
6.2 Употребление глаголов............................................................3
6.3 Общие указания по оценке.........................................................3
6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и ИСО/МЭК 18045......................3
7 Процесс оценки и соответствующие задачи оценки.........................................4
7.1 Введение........................................................................4
7.2 Краткое описание процесса оценки..................................................4
7.3 Задача получения исходных данных для оценки........................................7
7.4 Подвиды деятельности по оценке....................................................8
7.5 Задача оформления результатов оценки..............................................8
8 Класс АРЕ: Оценка профиля защиты....................................................13
8.1 Введение.......................................................................13
8.2 Замечания по применению........................................................13
8.3 «Введение ПЗ» (APEJNT).........................................................13
8.4 Утверждения о соответствии (APE_CCL).............................................14
8.5 Определение проблемы безопасности (APE_SPD).....................................18
8.6 Цели безопасности (APE_OBJ).....................................................19
8.7 Определение расширенных компонентов (APE_ECD)..................................21
8.8 Требования безопасности (APE_REQ)...............................................24
9 Класс ASE: Оценка задания по безопасности.............................................30
9.1 Введение.......................................................................30
9.2 Замечания по применению........................................................30
9.3 Введение ЗБ (ASEJNT)...........................................................30
9.4 Утверждения о соответствии (ASE_CCL).............................................32
9.5 «Определение проблемы безопасности» (ASE_SPD)...................................37
9.6 Цели безопасности (ASE_OBJ).....................................................38
9.7 Определение расширенных компонентов (ASE_ECD)..................................40
9.8 Требования безопасности ИТ (ASE_REQ)............................................43
9.9 Краткая спецификация ОО (ASE_TSS)...............................................49
10 Класс ADV: Разработка..............................................................50
10.1 Введение......................................................................50
10.2 Замечания по применению.......................................................50
10.3 Архитектура безопасности (ADV_ARC)..............................................51
10.4 Функциональная спецификация (ADV_FSP).........................................55
10.5 Представление реализации (ADVJMP).............................................76
10.6 Внутренняя структура ФБО (ADVJNT)..............................................78
10.7 Моделирование политики безопасности (ADV_SMP)..................................82
10.8 Проект ОО (ADV_TDS)...................Т.......................................82
11 Класс AGD: Руководства............................................................106
11.1 Введение.....................................................................106
11.2 Замечания по применению......................................................106
11.3 Руководство пользователя по эксплуатации (AGD_OPE)..............................106
11.4 Подготовительные процедуры (AGD_PRE)..........................................109
12 Класс ALC: Поддержка жизненного цикла..............................................110
12.1 Введение.....................................................................110
12.2 Возможности УК (А1_С_СМС).....................................................110
12.3 Область УК (ALC_CMS).........................................................125
III
ГОСТ Р ИСО/МЭК 18045—2013
12.4 Поставка (ALC_DEL)............................................................128
12.5 Безопасность разработки (ALC_DVS)..............................................129
12.6 Устранение недостатков (ALC_FLR)...............................................133
12.7 Определение жизненного цикла (ALCJ.CD)........................................143
12.8 Инструментальные средства и методы (ALC_TAT)...................................145
13 Класс АТЕ: Тестирование...........................................................151
13.1 Введение.....................................................................151
13.2 Замечания по применению......................................................151
13.3 Покрытие (ATE_COV)...........................................................153
13.4 Глубина (ATE_DPT).............................................................154
13.5 Функциональное тестирование (ATE_FUN).........................................159
13.6 Независимое тестирование (ATEJND).............................................162
14 Класс AVA: Оценка уязвимостей......................................................169
14.1 Введение.....................................................................169
14.2 Анализ уязвимостей (AVA_VAN)..................................................169
15 Класс АСО: Композиция............................................................192
15.1 Введение.....................................................................192
15.2 Замечания по применению......................................................192
15.3 Обоснование композиции (ACO_COR).............................................193
15.4 Свидетельство разработки (ACO_DEV)............................................198
15.5 Зависимости зависимых компонентов (ACO_REL)...................................203
15.6 Тестирование составного 00 (АСО_СТТ)..........................................206
15.7 Анализ уязвимостей композиции (ACO_VUL).......................................211
Приложение А (информативное) Общие указания по оценке.................................220
Приложение В (информативное) Оценка уязвимостей (AVA).................................226
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
ссылочным национальным стандартам Российской Федерации................241
Библиография.......................................................................242
IV
ГОСТ Р ИСО/МЭК 18045—2013
Введение
Международный стандарт ISO/IEC 18045:2008 был подготовлен Совместным техническим комитетом ISO/IEC JTC 1 «Информационные технологии». Подкомитетом SC 27 «Методы и средства обеспечения безопасности ИТ». Идентичный ISO/IEC 18045:2008 текст опубликован организациями — спонсорами проекта «Общие критерии» как «Общая методология оценки безопасности информационных технологий».
Потенциальные пользователи этого международного стандарта — прежде всего оценщики, применяющие ИСО/МЭК 15408 (здесь и далее, если не указывается конкретная часть стандарта, то ссылка относится ко всем частям ИСО/МЭК 15408), и органы по сертификации, подтверждающие действия оценщика, а также заявители оценки, разработчики, авторы ПЗ/ЗБ и другие стороны, заинтересованные в безопасности ИТ.
Этот международный стандарт признает, что не на все вопросы оценки безопасности ИТ здесь представлены ответы и что дальнейшие интерпретации будут необходимы. В конкретных системах оценки решат, как обращаться с такими интерпретациями, хотя они могут быть подчинены соглашениям о взаимном признании. Список связанных с методологией вопросов, которые могут определяться в конкретной системе оценки, приведен в приложении А.
Вторая редакция стандарта отменяет и заменяет первую редакцию (ГОСТ Р ИСО/МЭК 18045:2007), которая подверглась технической переработке.
V
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Information technology — Security techniques — Methodology for IT secunty evaluation
Дата введения — 2014—07—01
1 Область применения
Настоящий стандарт — документ, сопровождающий ИСО/МЭК 15408 «Информационная технология — Методы и средства обеспечения безопасности — Критерии оценки безопасности информационных технопогий». Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
Настоящий стандарт не определяет действия оценщика для некоторых компонентов высокого доверия ИСО/МЭК 15408, по оценке которых пока нет единых согласованных руководств.
2 Нормативные ссылки
Указанные в данном разделе документы являются необходимыми для применения настоящего стандарта. Для датированных ссылок используют только указанное издание. Для недатированных ссылок — последнее издание со всеми изменениями и дополнениями.
ИСО/МЭК 15408 (все части) Информационная технология — Методы и средства обеспечения безопасности — Критерии оценки безопасности HTJISO/IEC 15408 (all parts) Information technology — Security techniques — Evaluation criteria for IT security).
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
Примечание —Для терминов, выделенных в тексте определений полужирным шрифтом, в данном разделе даны собственные определения
3.1 действие (action): Элемент действий оценщика из ИСО/МЭК 15408-3.
Примечание — Эти действия или сформулированы в явном виде как действия оценщика, или неявно следуют из действий разработчика (подразумеваемые действия оценщика) в рамках компонентов требований доверия из ИСО/МЭК 15408-3
3.2 вид деятельности (activity): Применение класса требований доверия из ИСО/МЭК 15408-3.
3.3 проверить (check): Вынести вердикт посредством простого сравнения.
Примечание — Специальные знания и опыт оценщика не требуются 8 формулировке, в которой используется этот глагол, описывается то, что сравнивается
3.4 поставка для оценки (evaluation deliverable): Любой ресурс, который оценщик или орган оценки требует от заявителя или разработчика для выполнения одного или нескольких видов деятельности по проведению оценки или по надзору за оценкой.
Издание официальное
3.5 свидетельство оценки (evaluation evidence): Фактическая поставка для оценки
3.6 технический отчет об оценке (evaluation technical report): Отчет, выпущенный оценщиком и представленный в орган оценки, в котором приводится общий вердикт и его логическое обоснование.
3.7 исследовать (examine): Вынести вердикт на основе анализа с использованием специальных знаний и опыта оценщика.
Примечани е — Формулировка, в которой используется этот глагол, указывает на то, что конкретно и какие свойства подвергаются анализу
3.8 интерпретация (interpretation): Разъяснение или расширение требования ИСО/МЭК 15408, ИСО/МЭК 18045 или системы оценки
3.9 методология (methodology): Система принципов, процедур и процессов, применяемых для оценки безопасности ИТ.
3.10 сообщение о проблеме (observation report): Сообщение, документально оформленное оценщиком, в котором он просит разъяснений или указывает на возникшую при оценке проблему.
3.11 общий вердикт (overall verdict): Попожитепьный или отрицательный вывод оценщика по результатам оценки.
3.12 вердикт органа оценки (oversight verdict): Вывод органа оценки, подтверждающий или отклоняющий общий вердикт, который основан на результатах деятельности по надзору за оценкой.
3.13 зафиксировать (record): Сохранить в документальной форме описания процедур, событий, данных наблюдений, предположений и результатов на уровне детализации, достаточном для обеспечения возможности воспроизведения процесса выполнения оценки в будущем.
3.14 привести в отчете (сообщении) (report): Включить результаты оценки и вспомогательные материалы в технический отчет об оценке или в сообщение о проблеме
3.15 система оценки (scheme): Совокупность правил, установленных органом оценки и определяющих среду оценки, включая критерии и методологию, требуемые для проведения оценки безопасности ИТ.
3.16 подвид деятельности (sub-activity): Применение компонента требований доверия из ИСО/МЭК 15408-3.
Примечание — Семейства требований доверия прямо не рассматриваются в настоящем стандарте, поскольку при проведении оценки всегда используется только один компонент доверия из применяемого семейства
3.17 прослеживание (tracing): Однонаправленная связь между Двумя совокупностями сущностей, которая показывает, какие сущности в первой совокупности каким сущностям из второй соответствуют.
3.18 вердикт (verdict): Вывод оценщика попожитепьный. отрицатепьный или неокончательный применительно к некоторому элементу действий оценщика, компоненту или классу требований доверия из ИСО/МЭК 15408.
Примечание — См также общий вердикт
3.19 шаг оценивания (worfc unit): Наименьшая структурная единица работ по оценке.
Примечание — Каждое действие в методологии оценки включает один или несколько шагов оценивания, которые объединены в пределах этого действия методологии оценки согласно элементу содержания и представления свидетельств или элементу действий разработчика Шаги оценивания представлены в настоящем стандарте в том же порядке, что и элементы ИСО/МЭК 15408, из которых они следуют Шаги оценивания идентифицированы условным обозначением типа ALC_TAT1-2 В этом обозначении последовательность символов ALC_TAT 1 указывает на компонент ИСО/МЭК 15408 (т е на подвид деятельности из настоящего стандарта), а завершающая цифра (2) указывает, что это второй шаг оценивания в подвиде деятельности ALC_TAT1
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения:
ЗБ (ST) — задание по безопасности
ИТ (IT) — информационная технология
ИФБО (TSFI) — интерфейс ФБО
ОО (ТОЕ) — объект оценки
ОУД (EAL) — оценочный уровень доверия
ПБОр (OSP) — политика безопасности организации
ПЗ (РР) — профиль защиты
ТДБ (SAR) — требование доверия к безопасности
2
ГОСТ Р ИСО/МЭК 18045—2013
УК (СМ) — управление конфигурацией
ФБО (TSF) — функциональные возможности безопасности ОО
ФТБ (SFR) — функциональное требование безопасности
ТОО (ETR) — технический отчет об оценке
СП (OR) — сообщение о проблеме
5 Краткий обзор
5.1 Структура стандарта
Раздел 6 определяет соглашения, используемые в настоящем стандарте.
В разделе 7 описываются общие задачи оценки без определения вердиктов, связанных с ними, поскольку эти задачи не отображаются на элементы действий оценщика из ИСО/МЭК 15408.
Раздел 8 описывает работы, необходимые для получения результата оценки ПЗ.
В разделах 9—15 определяются действия по оценке, сгруппированные по классам доверия
Приложение А охватывает базовые методы оценки, используемые для предоставления технических свидетельств результатов оценки.
В приложении В приводится пояснение критериев оценки уязвимостей и примеры их применения.
6 Принятые соглашения
6.1 Терминология
В отличие от ИСО/МЭК 15408. где каждый элемент во всех компонентах одного семейства доверия имеет один и тот же номер, указанный последней цифрой его условного обозначения, настоящий стандарт может вводить новые шаги оценивания при изменении элемента действий оценщика из ИСО/МЭК 15408 в зависимости от подвида деятельности; в результате последняя цифра условного обозначения последующих шагов оценивания изменится, хотя шаг оценивания останется тем же самым.
Любая определенная в методологии работа по оценке, которая не следует непосредственно из требований ИСО/МЭК 15408. называется задачей или подзадачей.
6.2 Употребление глаголов
Вспомогательный глагол должен используется только при обязательности содержащего его текста и. следовательно, только в рамках определённого шага оценивания или подзадачи. Шаги оценивания и подзадачи содержат обязательные действия по оценке, которые оценщик должен выполнить, чтобы вынести вердикт.
Текст, сопровождающий шаги оценивания и подзадачи, содержит дальнейшие разъяснения использования формулировок ИСО/МЭК 15408 при оценке. Употребление глаголов соответствует принятым в ИСО определениям этих глаголов. Вспомогательный глагол следует используется в том случае, если описываемый метод строго предпочтителен. Все прочие вспомогательные глаголы, в том числе может, используются в том случае, когда описываемый метод не является обязательным или строго предпочтительным, а текст служит для пояснения.
Глаголы проверить (check), исследовать (examine), привести в отчете (report) и зафиксировать (record) в тексте настоящего стандарта имеют точный смысл, указанный в определениях раздела 3.
6.3 Общие указания по оценке
Материал, который применим более чем к одному подвиду деятельности, приводится в одном месте. Указания, которые являются широко применимыми (к нескольким видам деятельности или ОУД). приведены в приложении А. Указания, относящиеся к нескольким подвидам одного вида деятельности, содержатся во вводной части описания этого вида деятельности. Если указания относятся только к одному подвиду деятельности, они содержатся только в его описании.
6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и ИСО/МЭК 18045
Имеется прямая взаимосвязь между структурой ИСО/МЭК 15408 (класс—семейство—компонент-элемент) и структурой настоящего стандарта. Рисунок 1 иллюстрирует соответствие между такими конструкциями ИСО/МЭК 15408. как классы, компоненты и элементы действий оценщика, и рассматриваемыми в методологии оценки видами деятельности, подвидами деятельности и действиями по оценке.
3
Впрочем, некоторые шаги оценивания из методологии оценки могут следовать из требований ИСО/МЭК 15408. содержащихся в элементах действий разработчика или содержания и представления свидетельств.
7.1 Введение
В данном разделе представлен краткий обзор процесса оценки и определены задачи, которые следует выполнить оценщику при проведении оценки.
Каждый тип оценки: оценка ПЗ или оценка СЮ (в том числе оценка ЗБ) проводится в рамках единого процесса и включает четыре общие задачи для оценщика: задачу получения исходных данных для оценки, задачу оформления результатов оценки, задачу выполнения подвидов деятельности по оценке и задачу демонстрации технической компетентности органу по оценке.
Задача получения исходных данных для оценки и задача оформления результатов оценки, которые относятся к управлению свидетельствами оценки и созданию отчетов (сообщений), полностью описаны в данном разделе. Каждая из задач включает связанные с ней подзадачи, которые применяются и являются нормативными для всех типов оценок по ИСО/МЭК 15408 (оценка ПЗ или оценка ОО).
Подвиды деятельности по оценке в данном разделе вводятся, а полностью описываются в последующих разделах.
В противоположность подвидам деятельности по оценке, задача получения исходных данных для оценки и задача оформления результатов оценки не имеют связанных с ними вердиктов, поскольку эти задачи не отображаются на элементы действий оценщика из ИСО/МЭК 15408; они выполняются, чтобы обеспечить соответствие универсальным принципам и настоящему стандарту.
Задача демонстрации технической компетентности органу по оценке может быть выполнена органом по оценке с помощью анализа итогов задачи по оформлению результатов оценки или может включать демонстрацию оценщиками их понимания исходных данных для подвидов деятельности по оценке. Для этой задачи не имеется связанного с ней вердикта оценщика, но имеется вердикт органа по оценке. Подробные критерии для выполнения этой задачи остаются на усмотрение органа по оценке. как отмечено в приложении А.5.
7.2 Краткое описание процесса оценки
7.2.1 Цели
В данном подразделе представлена общая модель методологии оценки и определяются:
a) роли и обязанности сторон, вовлеченных в процесс оценки;
b) общая модель оценки.
7.2.2 Обязанности ролей
Общая модель определяет следующие роли: заявителя, разработчика, оценщика и органа оценки.
4
ГОСТ Р ИСО/МЭК 18045—2013
Заявитель предъявляет запрос об оценке и отвечает за поддержание процесса оценки. Это означает. что заявитель заключает различные соглашения по поводу проведения оценки (например относительно начала процесса оценки). Кроме того, заявитель отвечает и за то. чтобы оценщику были доступны свидетельства оценки.
Разработчик создает 00 и отвечает за предоставление необходимых для оценки свидетельств (например сведений об обучении персонала, информацию о проекте) от лица заявителя.
Оценщик выполняет задачи оценки, требуемые в контексте оценки: получает свидетельства оценки от разработчика, действующего от лица заявителя или непосредственно от самого заявителя, выполняет подвиды деятельности по оценке и предоставляет результаты оценивания органу оценки.
Орган оценки устанавливает и поддерживает систему оценки, контролирует процесс оценки, проводимый оценщиком, выпускает отчеты о сертификации/ратификации, а также сертификаты, основанные на результатах оценки, предоставленных оценщиком.
7.2.3 Взаимоотношения между ролями
Для предотвращения негативных воздействий на процесс оценки требуется обеспечить некоторое разделение ролей. Это подразумевает, что все роли, описанные выше, выполняются различными юридическими и физическими лицами, за исключением того, что роли разработчика и заявителя может выполнять одно лицо.
Кроме того, при проведении некоторых видов оценки (например оценки по ОУД1) может не требоваться вовлечение разработчика в процесс оценки. В таком случае ОО оценщику предоставляет заявитель, и он же генерирует свидетельства оценки.
7.2.4 Общая модель оценки
Процесс оценки состоит из выполнения оценщиком задачи получения исходных данных для оценки, задачи оформления результатов оценки и задачи выполнения подвидов деятельности по оценке. На рисунке 2 отражены отношения между этими задачами и подвидами деятельности.
Процессу оценки может предшествовать фаза подготовки, где заявитель и оценщик налаживают друг с другом связь и устанавливают деловые отношения. Во время этой фазы может значительно варьироваться состав выполняемых работ и число вовлеченных сторон. Как правило, именно во время этого шага оценщик выполняет анализ выполнимости успешной оценки.
7.2.5 Вердикты оценщика
Оценщик выносит вердикт относительно выполнения требований ИСО/МЭК 15408. а не требований настоящего стандарта. Наименьшая структурная единица ИСО/МЭК 15408. по которой выносится вердикт. — элемент действий оценщика (явный или подразумеваемый) Вердикт по выполняемому эле-
5
