Товары в корзине: 0 шт Оформить заказ
Стр. 1 

40 страниц

Предназначен для использования в качестве основы при оценке характеристик безопасности продуктов или систем информационных технологий (ИТ). Устанавливая общую базу критериев, стандарт позволяет сделать результаты оценки безопасности ИТ значимыми для более широкой аудитории.

 Скачать PDF

Идентичен ISO/IEC 15408-1:2005

Оглавление

1 Область применения

2 Термины и определения

3 Обозначения и сокращения

4 Краткий обзор

     4.1 Введение

     4.2 Контекст оценки

     4.3 Структура ИСО/МЭК 15408

5 Общая модель

     5.1 Контекст безопасности

     5.2 Подход ИСО/МЭК 15408

     5.3 Понятия безопасности

     5.4 Описательные возможности ИСО/МЭК 15408

6 Требования ИСО/МЭК 15408 и результаты оценки

     6.1 Введение

     6.2 Требования, включаемые в профиль защиты и задание по безопасности

     6.3 Требования к объекту оценки

     6.4 Результаты оценки соответствия

     6.5 Использование результатов оценки объекта оценки

Приложение А (обязательное) Спецификация профилей защиты

Приложение В (обязательное) Спецификация заданий по безопасности

Приложение С (обязательное) Сведения о соответствии национальных стандартов ссылочным международным стандартам.......................................33

Библиография

 

40 страниц

Дата введения01.10.2009
Добавлен в базу01.09.2013
Завершение срока действия01.12.2013
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

18.12.2008УтвержденФедеральное агентство по техническому регулированию и метрологии519-ст
РазработанООО ЦБИ
РазработанФГУ 4 ЦНИИ Минобороны России
РазработанФГУП Центр Атомзащитаинформ
РазработанФГУП ЦНИИАТОМИНФОРМ
ИзданСтандартинформ2009 г.

Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТ Р исо/мэк 15408-1-2008


Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ


Часть 1

Введение и общая модель


ISO/IEC 15408-1:2005 Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model (IDT)


Издание официальное


см


см


Стандартинформ

2009


Москва


Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»), Федеральным государственным учреждением «4 Центральный научно-исследовательский институт Министерства обороны России» (ФГУ «4 ЦНИИ Минобороны России»), Федеральным государственным унитарным предприятием «Научно-технический и сертификационный центр по комплексной защите информации» ФГУП Центр «Атомзащитаинформ», Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт управления, экономики и информации Росатома» (ФГУП «ЦНИИАТОМИНФОРМ») при участии экспертов Международной рабочей группы по общим критериям на основе собственного аутентичного перевода стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. №519-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 15408-1:2005 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (ISO/IEC 15408-1:2005 «Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general

model»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении С

5    ВЗАМЕН ГОСТР ИСО/МЭК 15408-1—2002

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

©Стандартинформ, 2009

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р ИСО/МЭК 15408-1—2008

Рисунок 1 — Контекст оценки

Система оценки, методология и процедуры сертификации находятся в ведении органов оценки, управляющих системами оценки, и выходят за рамки действия ИСО/МЭК 15408.

4.3 Структура ИСО/МЭК 15408

ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже. Термины, используемые при описании данных частей, пояснены в разделе 5.

a)    Часть 1 «Введение и общая модель» является введением в ИСО/МЭК 15408. В ней определены общие принципы и концепции оценки безопасности ИТ и приведена общая модель оценки. Представлены конструкции для выражения целей безопасности ИТ, выбора и определения требований безопасности ИТ и написания высокоуровневых спецификаций для продуктов и систем. Кроме того, в этой части указано, в чем заключается полезность каждой из частей ИСО/МЭК 15408 применительно к каждой из основных групп пользователей ИСО/МЭК 15408.

b)    Часть 2 «Функциональные требования безопасности» устанавливает совокупность функциональных компонентов как стандартный способ выражения функциональных требований к ОО и содержит каталог всех функциональных компонентов, семейств и классов.

c)    Часть 3 «Требования доверия к безопасности» устанавливает совокупность компонентов доверия как стандартный способ выражения требований доверия кОО и содержит каталог всех компонентов, семейств и классов доверия. Кроме того, в данной части определены критерии оценки профилей защиты и заданий по безопасности и представлены оценочные уровни доверия (ОУД), которые устанавливают предопределенную в ИСО/МЭК 15408 шкалу ранжирования доверия к ОО.

Предполагается, что в поддержку трех частей ИСО/МЭК 15408, перечисленных выше, будут опубликованы также другие документы, включая нормативно-методические материалы и руководства.

В таблице 1 показано, в каком качестве различные части ИСО/МЭК 15408 будут представлять интерес для каждой из трех основных групп пользователей ИСО/МЭК 15408.

Таблица 1 — Путеводитель по критериям оценки безопасностик информационных технологий

Часть

Потребитель

Разработчик

Оценщик

1

Общие сведения по применению. Руководство по структуре профилей защиты

Общие сведения и руководство по разработке требований и формулированию спецификаций безопасности для объектов оценки

Общие сведения и руководство по применению. Руководство по структуре профилей защиты и заданий по безопасности

2

Руководство и справочник по формулированию требований к функциям безопасности

Справочник по интерпретации функциональных требований и формулированию функциональных спецификаций для объектов оценки

Критерии оценки, используемые при определении эффективности выполнения объектом оценки заявленных функций безопасности

3

Руководство по определению требуемого уровня доверия

Справочник по интерпретации требований доверия и определению подходов к установлению доверия к объектам оценки

Критерии оценки, используемые при определении доверия к объектам оценки и оценке профилей защиты и заданий по безопасности

7

5 Общая модель

В настоящем разделе представлены общие понятия, используемые во всех частях ИСО/МЭК 15408, включая контекст использования этих понятий, и подход ИСО/МЭК 15408 к их применению. ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3 развивают эти понятия в рамках описанного подхода. Данный раздел предполагает наличие определенных знаний по безопасности ИТ и не предназначен для использования в качестве учебного пособия в этой области.

Безопасность рассматривается в ИСО/МЭК 15408 с использованием совокупности понятий и терминологии в области безопасности. Их понимание является предпосылкой эффективного использования ИСО/МЭК 15408. Однако сами по себе эти понятия имеют самый общий характер и не должны ограничивать область проблем безопасности ИТ, к которым применим ИСО/МЭК 15408.

5.1    Контекст безопасности

5.1.1    Общий контекст безопасности

Безопасность связана с защитой активов от угроз, при этом угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все разновидности угроз, но в сфере безопасности наибольшее внимание уделяется тем из них, которые связаны со злонамеренными или иными действиями человека. Высокоуровневые понятия безопасности и их взаимосвязь представлены на рисунке 2.

Рисунок 2 — Понятия безопасности и их взаимосвязь

За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельцев. Владельцы будут воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельцев. К специфическим нарушениям безопасности обычно относят (но не ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателям (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).

ГОСТ Р ИСО/МЭК 15408-1—2008

Владельцы активов будут анализировать угрозы, применимые к их активам и среде, определяя связанные с ними риски. Анализ угроз может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня.

Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя их между этими составляющими). Но и после введения контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, определяя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск с учетом имеющихся ограничений.

Прежде чем подвергнуть активы опасности воздействия выявленных угроз, владельцам активов необходимо убедиться, что предпринятые контрмеры обеспечат адекватное противостояние этим угрозам. Сами владельцы активов не всегда в состоянии судить обо всех аспектах предпринимаемых контрмер и поэтому могут потребовать проведение их оценки. Результатом такой оценки является заключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. В данном заключении устанавливают уровень доверия как результат применения контрмер. Доверие является той характеристикой контрмер, которая дает основание для уверенности в их надлежащем действии. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска для активов, создаваемого угрозами. Взаимосвязь данных понятий, используемых при оценке, представлена на рисунке 3.

Рисунок 3 — Понятия, используемые при оценке, и их взаимосвязь

Поскольку ответственность за активы несут их владельцы, им следует иметь возможность отстаивать принятое решение о приемлемости для активов риска, создаваемого угрозами. Для этого требуется, чтобы результаты оценки были обоснованными. Следовательно, оценка должна приводить к объективным и повторяемым результатам, что позволит использовать их в качестве доказательств.

5.1.2 Контекст безопасности информационныхтехнологий

Многие активы представлены в виде информации, которая хранится, обрабатывается и передается продуктами или системами ИТ так, чтобы они соответствовали требованиям владельцев этой информации. Владельцы информации вправе потребовать, чтобы распространение и модификация любых

9

таких представлений информации (данных) строго контролировались. Они могут потребовать, чтобы продукт или система ИТ реализовали характерные для ИТ меры управления безопасностью как часть всей совокупности контрмер безопасности, применяемых для противостояния угрозам безопасности данных.

Системы ИТ приобретают и создают для выполнения конкретных требований и при этом по экономическим причинам могут максимально использовать имеющиеся коммерческие продукты ИТ, такие как операционные системы, компоненты прикладного программного обеспечения общего назначения и аппаратные платформы. Контрмеры безопасности ИТ, реализованные в системе, могут использовать функции, имеющиеся во включаемых в систему продуктах ИТ, и, следовательно, зависят от правильного выполнения функций безопасности продуктов ИТ. Поэтому продукты ИТ подлежат оценке в качестве составной части оценки безопасности системы ИТ.

Если продукт ИТ уже включен в состав различных систем ИТ или такое включение предполагается, то экономически целесообразна отдельная оценка аспектов безопасности подобного продукта и создание каталога оцененных продуктов. Результаты подобной оценки следует формулировать так, чтобы была возможность использования продукта в различных системах ИТ без повторения работ по экспертизе его безопасности.

Лица, аттестующие систему ИТ, должны иметь полномочия владельца информации для вынесения заключения о том, обеспечивает ли сочетание контрмер безопасности, относящихся и не относящихся к ИТ, адекватную защиту данных, и принятия на этом основании решения о допустимости эксплуатации данной системы. Аттестующий может потребовать оценки реализованных в ИТ контрмер, с тем чтобы решить, обеспечивают ли эти контрмеры адекватную защиту и правильно ли они реализованы в системе ИТ. Допускаются различные форма и степень строгости оценки в зависимости от правил, которыми руководствуется аттестующий или которые вводятся им.

5.2 Подход ИСО/МЭК 15408

Уверенность в безопасности ИТ может быть достигнута в результате действий, предпринятых в процессе разработки, оценки и эксплуатации 00.

5.2.1 Разработка

ИСО/МЭК 15408 не предписывает конкретную методологию разработки или модель жизненного цикла. Основополагающие предположения о соотношениях между требованиями безопасности и собственно ОО представлены на рисунке 4. Рисунок4 используется в качестве примера и его не следует интерпретировать как демонстрацию преимущества одной методологии разработки (например, каскадной) перед другой (например, по прототипу).

Рисунок4 — Модель разработки ОО

ГОСТ Р ИСО/МЭК 15408-1—2008

Существенно, чтобы требования безопасности, предъявляемые к разработке ИТ, эффективно содействовали достижению целей безопасности, установленных потребителями. Если соответствующие требования не установлены до начала процесса разработки, то даже хорошо спроектированный конечный продукт может не отвечать целям предполагаемых потребителей.

Процесс разработки основан на уточнении требований безопасности, отображенных в краткой спецификации в составе задания по безопасности. Каждый последующий уровень уточнения представляет собой декомпозицию проекта с его дополнительной детализацией. Наименее абстрактным представлением является непосредственно реализация 00.

ИСО/МЭК 15408 не предписывает конкретную совокупность представлений проекта. ИСО/МЭК 15408 требует, чтобы имелось достаточное число представлений проекта с достаточным уровнем детализации для демонстрации того, что:

a)    каждый уровень уточнения полностью отображает более высокие уровни (то есть все функции, характеристики и режимы безопасности ОО, которые определены на более высоком уровне абстракции, должны быть наглядно представлены на более низком уровне);

b)    каждый уровень уточнения точно отображает более высокие уровни (то есть не должно быть функций, характеристик и режимов безопасности 00, которые были бы определены на более низком уровне абстракции, но при этом не требовались на более высоком уровне).

Критерии доверия из ИСО/МЭК 15408 идентифицируют следующие уровни абстракции проекта: функциональная спецификация, проект верхнего уровня, проект нижнего уровня и реализация. В зависимости от выбранного уровня доверия может потребоваться, чтобы разработчики показали, насколько методология разработки отвечает требованиям доверия из ИСО/МЭК 15408.

5.2.2 Оценка 00

Процесс оценки 00, как показано на рисунке 5, может проводиться параллельно с разработкой или следовать за ней. Основными исходными материалами для оценки 00 являются:

a)    совокупность свидетельств, характеризующих 00, включая ЗБ в качестве основы оценки ОО;

b)    00, безопасность которого требуется оценить;

c)    критерии, методология и система оценки.

Рисунок 5 — Процесс оценки ОО

11

Кроме того, в качестве исходных материалов для оценки возможно также использование вспомогательных материалов (таких, например, как замечания по применению ИСО/МЭК 15408) и специальных знаний в области безопасности ИТ, которыми располагает оценщик и сообщество участников оценки.

Ожидаемым результатом оценки является подтверждение удовлетворения объектом оценки требований безопасности, изложенных в его ЗБ, а также один или несколько отчетов, документирующих выводы оценщика относительно 00, сделанные в соответствии с критериями оценки. Такие отчеты, помимо разработчика, будут полезны также реальным и потенциальным потребителям продукта или системы, представленным как объект оценки.

Степень уверенности в безопасности ОО, получаемая в результате оценки, зависит от удовлетворенных при оценке требований доверия (например, от оценочного уровня доверия).

Оценка может способствовать созданию более безопасных продуктов ИТ двумя путями. Оценка позволяет выявить ошибки или уязвимости в 00, устраняя которые разработчик снижает вероятность нарушения безопасности 00 при его последующей эксплуатации. Кроме того, готовясь кстрогой оценке, разработчик, возможно, более внимательно отнесется к проектированию и разработке 00. Поэтому процесс оценки может оказывать значительное, хотя и косвенное, положительное влияние на начальные требования, процесс разработки, конечный продукт и условия его эксплуатации.

5.2.3    Эксплуатация 00

Потребители могут выбрать оцененный продукт для использования в конкретных условиях. Не исключено, что при эксплуатации 00 могут быть выявлены не обнаруженные до этого ошибки или уязвимости, а также может возникнуть необходимость пересмотра предположений относительно среды функционирования. Тогда по результатам эксплуатации потребуется внесение разработчиком исправлений в 00 либо переопределение требований безопасности или предположений относительно среды эксплуатации. Такие изменения могут привести к необходимости проведения новой оценки 00 или потребовать повышения безопасности среды его эксплуатации. В некоторых случаях для восстановления доверия к 00 достаточно оценить только требующиеся обновления. Детальное описание процедур переоценки, включая использование результатов ранее проведенных оценок, выходит за рамки ИСО/МЭК 15408.

5.3    Понятия безопасности

Критерии оценки наиболее полезны в контексте процессов проектирования и правовой базы, поддерживающих безопасную разработку и оценку 00. Настоящий подраздел включен исключительно в иллюстративных и рекомендательных целях и не предназначен для регламентации процессов анализа, подходов к разработке или систем оценки, в рамках которых мог бы применяться ИСО/МЭК 15408.

ИСО/МЭК 15408 применяют, если при использовании ИТ придают значение способности элементов ИТ обеспечивать сохранность активов. Для того чтобы показать защищенность активов, вопросы безопасности необходимо рассматривать на всехуровнях, начиная с самого абстрактного идо конечной реализации ИТ в среде эксплуатации. Эти уровни представления, как описано в следующих пунктах, позволяют охарактеризовать задачи и проблемы безопасности, однако сами по себе не демонстрируют, что конечная реализация ИТ действительно соответствует требуемому режиму безопасности и поэтому может считаться доверенной.

ИСО/МЭК 15408 требует, чтобы конкретные уровни представления содержали обоснование представления 00 на данном уровне. Это значит, что такой уровень должен содержать убедительные аргументы, свидетельствующие о согласованности данного уровня с более высоким уровнем, а также о его полноте, корректности и внутренней непротиворечивости. Изложение обоснования, демонстрирующее согласованность со смежным более высоким уровнем представления, приводят какдовод корректности 00. Обоснование, непосредственно демонстрирующее соответствие 00 целям безопасности, поддерживает доводы о его эффективности в противостоянии угрозам и осуществлении политики безопасности организации.

В ИСО/МЭК 15408 использованы различные формы представления. Возможный способ последовательного формирования требований безопасности и спецификаций при разработке ПЗ или ЗБ представлен на рисунке 6. Все требования безопасности 00, в конечном счете, следуют из рассмотрения предназначения и контекста 00. Приведенная схема не предназначена для ограничения способов разработки ПЗ и ЗБ, а лишь иллюстрирует, каким образом результаты некоторых аналитических подходов связаны с содержанием ПЗ и ЗБ.

ГОСТ Р ИСО/МЭК 15408-1—2008


Физическая среда 00

Активы, нуждающиеся в защите

Предназначение

00



Предположения

Угрозы

Политика

безопасности

организации



Материалы по целям безопасности (ПЗ/ЗБ)


Материалы по среде безопасности (ПЗ/ЗБ)


Функциональные

Требования

Требования

требования

доверия

к среде

I Материалы I по требованиям I безопасности | (ПЗ/ЗБ)



I    Материалы

I по спецификациям I безопасности

.J    <ЗБ)


Рисунок 6 — Последовательное формирование требований и спецификаций


13


5.3.1    Среда безопасности

Среда безопасности включает в себя законы, политики безопасности организаций, опыт, специальные навыки и знания, имеющие отношение к безопасности. Таким образом, она определяет контекст предполагаемого применения 00. Среда безопасности включает также угрозы безопасности, присутствие которых в этой среде установлено или предполагается.

При установлении среды безопасности автор ПЗ или ЗБ должен принять во внимание:

a)    физическую среду 00 в той ее части, которая определяет все аспекты эксплуатационной среды 00, касающиеся его безопасности, включая известные мероприятия, относящиеся кфизической защите и персоналу;

b)    активы, которые требуют защиты элементами 00 и к которым применяются требования или политики безопасности; они могут включать в себя активы, к которым это относится непосредственно, например файлы и базы данных, а также активы, которые косвенно подчинены требованиям безопасности, например, данные авторизации и собственно реализации ИТ;

c)    предназначение 00, включая тип продукта и предполагаемую сферу его применения.

Исследование политик безопасности, угроз и рисков должно позволить сформировать следующие

специфичные для безопасности утверждения, относящиеся к 00:

a)    изложение предположений, которым удовлетворяла бы среда 00 для того, чтобы он считался безопасным. Это изложение может быть принято без доказательства при оценке 00;

b)    изложение угроз безопасности активов, в котором были бы идентифицированы все угрозы, прогнозируемые на основе анализа безопасности как относящиеся к 00. В ИСО/МЭК 15408 угрозы раскрываются через понятия источника угрозы, предполагаемого метода нападения, любых уязвимостей, которые являются предпосылкой для нападения, и идентификации активов, являющихся целью нападения. При оценке рисков безопасности квалифицируют каждую угрозу безопасности с оценкой возможности ее перерастания в фактическое нападение, вероятности успешного проведения такого нападения и последствий любого возможного ущерба;

c)    изложение политик безопасности, применяемых в организации, в котором были бы идентифицированы политики и правила, относящиеся к 00. Для системы ИТ такие политики могут быть описаны достаточно точно, тогда какдля продуктов ИТ или класса продуктов общего назначения о политике безопасности организации могут быть сделаны, при необходимости, только рабочие предположения.

5.3.2    Цели безопасности

Результаты анализа среды безопасности могут затем быть использованы для установления целей безопасности, которые направлены на противостояние установленным угрозам, а также проистекают из установленной политики безопасности организации и сделанных предположений. Цели безопасности должны быть согласованы с установленными целями применения или предназначением 00 как продукта, а также со всеми известными сведениями о физической среде 00.

Смысл определения целей безопасности заключается в том, чтобы соотнести их со всеми поставленными ранее вопросами безопасности и декларировать, какие аспекты безопасности связаны непосредственно с ОО, а какие — с его средой. Такое разделение основано на совокупном учете инженерного опыта, политики безопасности, экономических факторов и решения о приемлемости рисков.

Цели безопасности для среды ОО достигаются как в рамках ИТ, так и нетехническими или процедурными способами.

Требования безопасности ИТ проистекают только из целей безопасности ОО и целей безопасности его среды, относящихся к ИТ.

5.3.3    Требования безопасности ИТ

Требования безопасности ИТ являются результатом преобразования целей безопасности в совокупность требований безопасности для ОО и требований безопасности для среды, которые, в случае их удовлетворения, обеспечат для ОО способность достижения целей его безопасности.

В ИСО/МЭК 15408 представлены две различные категории требований безопасности — функциональные требования и требования доверия.

Функциональные требования предъявляются к тем функциям 00, которые предназначены для поддержания безопасности ИТ и определяют желательный безопасный режим функционирования ОО. Функциональные требования определены в ИСО/МЭК 15408-2. Примерами функциональных требова-

ГОСТ Р ИСО/МЭК 15408-1—2008

ний являются требования к идентификации, аутентификации, аудиту безопасности, неотказуемости источника (невозможности отказа от факта отправления сообщения).

Если 00 содержит функции безопасности, которые реализуются вероятностными или перестановочными механизмами (например, паролем или хэш-функцией), то требования доверия могут определять, что заявленный минимальный уровень стойкости согласуется с целями безопасности. При этом специфицированный уровень стойкости будет выбираться из следующих: базовая стойкость функции безопасности (СФБ), средняя СФБ, высокая СФБ. От каждой такой функции потребуется соответствие минимальному уровню стойкости или, по меньшей мере, дополнительно определенной специальной метрике.

Степень доверия к заданной совокупности функциональных требований может меняться; это, как правило, выражается через возрастание уровня строгости, задаваемого компонентами доверия. ИСО/МЭК 15408-3 определяет требования доверия и шкалу оценочных уровней доверия (ОУД), формируемых с использованием этих компонентов. Требования доверия предъявляются к действиям разработчика, представленным свидетельствам и действиям оценщика. Примерами требований доверия являются требования кстрогости процесса разработки, поиску потенциальныхуязвимостей и анализу их влияния на безопасность.

Доверие ктому, что цели безопасности достигаются посредством выбранных функций безопасности, зависит от уверенности:

a)    в корректности реализации функций безопасности, то есть оценки того, правильно ли они реализованы;

b)    в эффективности функций безопасности, то есть оценки того, действительно ли они отвечают изложенным целям безопасности.

Требования безопасности обычно включают в себя кактребования наличия желательных режимов функционирования, так и требования отсутствия нежелательных режимов. Наличие желательного режима обычно можно продемонстрировать путем непосредственного применения или испытаний (тестирования). Не всегда удается убедительно продемонстрировать отсутствие нежелательного режима. Уменьшению риска наличия нежелательного режима в значительной мере способствуют испытания (тестирование), экспертиза проекта и окончательной реализации. Изложение обоснования представляет дополнительную поддержку утверждению об отсутствии нежелательного режима.

5.3.4    Краткая спецификация ОО

Краткая спецификация ОО, предусмотренная в составе ЗБ, определяет отображение требований безопасности для ОО. В ней обеспечивается высокоуровневое определение функций безопасности, заявляемых для удовлетворения функциональных требований, и мер доверия, предпринимаемых для удовлетворения требований доверия.

5.3.5    Реализация ОО

Реализацией ОО является его воплощение, основанное на функциональных требованиях безопасности и краткой спецификации ОО, содержащейся в ЗБ. При осуществлении реализации ОО используются инженерные навыки и знания в области ИТ и безопасности. ОО будет отвечать целям безопасности, если он правильно и эффективно реализует все требования безопасности, содержащиеся в ЗБ.

5.4 Описательные возможности ИСО/МЭК 15408

ИСО/МЭК 15408 устанавливает базовую структуру для проведения оценки. Представлением требований к свидетельствам и анализу может достигаться получение более объективных и, следовательно, более значимых результатов оценки. В ИСО/МЭК 15408 вводятся общая совокупность конструкций и язык для выражения и взаимосвязи аспектов безопасности ИТ, что дает возможность воспользоваться накопленным опытом и специальными знаниями.

5.4.1 Представление требований безопасности

ИСО/МЭК 15408 определяет совокупность конструкций, объединяемых в содержательные наборы требований безопасности известной пригодности, которые затем могут быть использованы при установлении требований безопасности к перспективным продуктам и системам. Взаимосвязь различных конструкций для выражения требований изложена ниже и представлена на рисунке 7.

15

Организация требований безопасности в ИСО/МЭК 15408 в виде иерархии «класс — семейство — компонент» призвана помочь потребителям в поиске конкретных требований безопасности.

Функциональные требования и требования доверия представлены в ИСО/МЭК 15408 в едином стиле с использованием одной и той же структуры и терминологии.

5.4.1.1    Класс

Термин «класс» применяется для наиболее общего группирования требований безопасности. Все составляющие класса имеют общую направленность, но различаются по охвату целей безопасности.

Составляющие класса называются «семействами».

5.4.1.2    Семейство

Семейство — это группа наборов требований безопасности, имеющих общие цели безопасности, но различающихся акцентами или строгостью.

Составляющие семейства называются «компонентами».

5.4.1.3    Компонент

Компонент описывает специфический набор требований безопасности, который является наименьшим выбираемым набором требований безопасности для включения в структуры, определенные в ИСО/МЭК 15408. Совокупность компонентов, входящих в семейство, может быть упорядочена для представления возрастания строгости или возможностей требований безопасности, имеющих общее назначение. Компоненты могут быть также упорядочены частично, для представления связанных неиерархических наборов. Упорядочение неприменимо в случае, когда в семействе имеется только один компонент.

Компоненты состоят из отдельных элементов. Элемент — это выражение требований безопасности на самом нижнем уровне. Элемент является тем неделимым требованием безопасности, которое может быть верифицировано при оценке.

5.4.1.3.1    Зависимости между компонентами

Между компонентами могут существовать зависимости. Зависимости возникают, если компонент не самодостаточен и предполагает наличие другого компонента. Зависимости могут существовать между функциональными компонентами, между компонентами доверия, а также между функциональными компонентами и компонентами доверия.

Описание зависимостей компонента является частью определения компонента в ИСО/МЭК 15408. Для обеспечения полноты требований кОО следует удовлетворить там, где это необходимо, зависимости всех компонентов при их включении в ПЗ и ЗБ.

5.4.1.3.2    Разрешенные операции на компонентах

Функциональные компоненты и компоненты доверия из ИСО/МЭК 15408 можно использовать так, как они сформулированы в ИСО/МЭК 15408, или можно их конкретизировать, применяя разрешенные операции для удовлетворения какой-то цели безопасности. Если какой-то элемент в рамках компонента

ГОСТ Р ИСО/МЭК 15408-1—2008

Содержание

1    Область применения...................................................1

2    Термины и определения................................................2

3    Обозначения и сокращения..............................................5

4    Краткий обзор.......................................................5

4.1    Введение.......................................................5

4.2    Контекст оценки...................................................6

4.3    Структура ИСО/МЭК 15408 ............................................7

5    Общая модель.......................................................8

5.1    Контекст безопасности...............................................8

5.2    Подход ИСО/МЭК 15408 ............................................. 10

5.3    Понятия безопасности..............................................12

5.4    Описательные возможности ИСО/МЭК 15408................................ 15

6    Требования ИСО/МЭК 15408 и результаты оценки...............................20

6.1    Введение......................................................20

6.2    Требования, включаемые в профиль защиты и задание по безопасности..............20

6.3    Требования к объекту оценки..........................................21

6.4    Результаты оценки соответствия.......................................21

6.5    Использование результатов оценки объекта оценки...........................22

Приложение А (обязательное)    Спецификация    профилей защиты.......................23

Приложение В (обязательное)    Спецификация    заданий по безопасности..................27

Приложение С (обязательное) Сведения о соответствии национальных стандартов ссылочным международным стандартам.......................................33

Библиография........................................................34

ГОСТ Р ИСО/МЭК 15408-1—2008

подвергается уточнению, автор ПЗ/ЗБ должен четко идентифицировать, что такое уточнение было выполнено. Автор ПЗ/ЗБ должен также отследить, чтобы требуемые зависимости других требований, зависящих от данного требования, были удовлетворены. Разрешенные операции выбирают из следующей совокупности:

a)    итерация (iteration) — позволяет неоднократно использовать компонент при различном выполнении в нем операций;

b)    назначение (assignment) — позволяет специфицировать параметры;

c)    выбор (selection) — позволяет специфицировать один или несколько пунктов из перечня;

d)    уточнение (refinement) — позволяет осуществлять детализацию.

5.4.1.3.2.1    Итерация

Там, где необходимо охватить различные аспекты одного и того же требования (например, идентифицировать несколько типов пользователей), разрешается повторное использование одного и того же компонента, позволяющее охватить каждый аспект.

Хотя итерация относится к уровню компонента требования, нет необходимости при каждой итерации повторять полный текст компонента, так как это привело бы к повторению без изменений некоторых элементов в рамках компонента. Допускается в ПЗ или ЗБ повторять только те элементы требований, которые каждый раз изменяются путем уточнения либо выполнения операций назначения или выбора (см. 5.4.1.3.2.4 для дальнейшего руководства по итерации уточненных требований).

5.4.1.3.2.2    Назначение

Некоторые компоненты включают в себя элементы, которые содержат параметры, дающие возможность разработчику ПЗ/ЗБ специфицировать совокупность величин, включаемых в ПЗ/ЗБ для достижения какой-то цели безопасности. Эти элементы четко идентифицируют каждый такой параметр и ограничения на значения, которые может принимать этот параметр.

Любой аспект элемента, допустимые значения которого могут быть однозначно описаны или перечислены, может быть представлен параметром. Параметр может быть атрибутом или правилом, сводящим требование к определенному значению или диапазону значений. Например, некоторый элемент в рамках компонента, направленный на достижение определенной цели безопасности, может установить, что данную операцию следует выполнять несколько раз. В этом случае назначение установит число возможных повторений (или диапазон для него), которое будет использоваться для данного параметра.

5.4.1.3.2.3    Выбор

Операция заключается в выборе одного или нескольких пунктов из перечня для ограничения области применения элемента в рамках конкретного компонента.

5.4.1.3.2.4    Уточнение

Для всех компонентов разработчику ПЗ/ЗБ разрешается ограничить набор допустимых реализаций путем определения дополнительных деталей для достижения некоторой цели безопасности. Уточнение элемента в рамках компонента заключается в дополнении этими техническими деталями.

Для того чтобы изменение в компоненте считалось допустимым уточнением, оно должно удовлетворять всем перечисленным ниже условиям:

a)    00, отвечающий уточненному требованию, также должен отвечать исходному требованию, интерпретированному в контексте ПЗ/ЗБ;

b)    в случаях если уточненное требование подвергается итерации, допускается, чтобы каждая итерация относилась только к подмножеству области действия данного требования; тем не менее все итерации в совокупности должны охватывать всю область действия исходного требования;

c)    уточненное требование не должно расширять область действия исходного требования;

d)    уточненное требование не должно изменять список зависимостей исходного требования.

Несколько примеров допустимых уточнений:

a)    любое изменение, являющееся исключительно редакционным, такое какулучшение читабельности выполненного назначения или соблюдение правил грамматики;

b)    изменение, не меняющее область действия требования из-за контекста, в котором оно используется в ПЗ/ЗБ. Например, изменение требования, определяющего «пользователей ОО» в качестве «telnet-пользователей 00» будет допустимым уточнением, если пользователи 00 являются только telnet-пользователями;

c)    изменение, предоставляющее информацию о допустимых подходах к реализации, не расширяя область действия требования. Примером допустимого уточнения является изменение требования «обеспечить способность верифицировать» на «обеспечить способность верифицировать путем применения криптографических контрольных сумм». Изменение устанавливает ограничения на тип механизма, используемого при выполнении существующего требования, и не расширяет область действия исходного требования.

Введение

Международный стандарт ИСО/МЭК 15408:2005 подготовлен Совместным техническим комитетом ИСО/МЭК СТК1 «Информационные технологии». Подкомитет ПК 27 «Методы и средства обеспечения безопасности ИТ». Идентичный ИСО/МЭК 15408:2005 текст опубликован организациями-спонсорами проекта «Общие критерии» как «Общие критерии оценки безопасности информационных технологий», версия 2.3 (ОК, версия 2.3).

Второе издание ИСО/МЭК 15408:2005 отменяет и заменяет первое издание ИСО/МЭК 15408:1999, которое подверглось технической переработке.

ИСО/МЭК 15408 под общим наименованием «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» состоит из следующих частей:

-    часть 1. Введение и общая модель;

-    часть 2. Функциональные требования безопасности;

-    часть 3. Требования доверия к безопасности.

Если имеют в виду все три части стандарта, используют обозначение ИСО/МЭК 15408.

ИСО/МЭК 15408 дает возможность сравнения результатов независимых оценок безопасности. Это достигается предоставлением общего набора требований к функциям безопасности продуктов или систем ИТ и мерам доверия, применяемым к ним при оценке безопасности. В процессе оценки достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям. Результаты оценки могут помочь потребителям решить, являются ли продукты или системы ИТ достаточно безопасными для их предполагаемого применения и приемлемы ли прогнозируемые риски при их использовании.

ИСО/МЭК 15408 полезен в качестве руководства как при разработке продуктов или систем с функциями безопасности ИТ, так и при приобретении коммерческих продуктов или систем с функциями безопасности. При оценке продукт или систему ИТ с функциями безопасности называют объектом оценки (ОО). Ктаким ОО, например, относятся операционные системы, вычислительные сети, распределенные системы и приложения.

ИСО/МЭК 15408 направлен на защиту информации от несанкционированного раскрытия, модификации или потери возможности ее использования. Характеристики защищенности, относящиеся к данным трем типам нарушения безопасности, обычно называют конфиденциальностью, целостностью и доступностью соответственно. ИСО/МЭК 15408 может быть также применим ктем аспектам безопасности ИТ, которые выходят за пределы этих трех понятий. ИСО/МЭК 15408 сосредоточен на угрозах информации, возникающих в результате действий человека как злоумышленных, так и иных, но возможно также применение ИСО/МЭК 15408 и для некоторых угроз, не связанных с человеческим фактором. Кроме того, ИСО/МЭК 15408 может быть применим и в других областях ИТ, но не декларируется их правомочность вне строго ограниченной сферы безопасности ИТ.

ИСО/МЭК 15408 применим к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Если предполагается, что отдельные аспекты оценки применимы только для некоторых способов реализации, это будет отмечено при изложении соответствующих критериев.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 1 Введение и общая модель

Information technology. Security techniques. Evaluation criteria for IT security.

Part 1. Introduction and general model

Дата введения — 2009—10—01

1 Область применения

ИСО/МЭК 15408 предназначен для использования в качестве основы при оценке характеристик безопасности продуктов или систем информационных технологий (ИТ). Устанавливая общую базу критериев, ИСО/МЭК 15408 позволяет сделать результаты оценки безопасности ИТ значимыми для более широкой аудитории.

Некоторые вопросы рассматриваются как лежащие вне области действия ИСО/МЭК 15408, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Часть из них перечислена ниже:

a)    ИСО/МЭК 15408 не содержит критериев оценки безопасности, касающихся административных мер безопасности, непосредственно не относящихся к мерам безопасности ИТ. Известно, что безопасность ОО в значительной степени может быть достигнута административными мерами, такими какорга-низационные меры, меры управления персоналом, меры управления физической защитой и процедурные меры. Административные меры безопасности в среде эксплуатации ОО рассматриваются в качестве предположений о безопасном использовании там, где они влияют на способность мер безопасности ИТ противостоять установленным угрозам.

b)    Оценка специальныхфизическихаспектовбезопасности ИТ, таких как контроль электромагнитного излучения, прямо не затрагивается, хотя многие концепции ИСО/МЭК 15408 применимы и в этой области. В частности, рассмотрены некоторые аспекты физической защиты ОО.

c)    В ИСО/МЭК 15408 не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки. Тем не менее, ИСО/МЭК 15408 может использоваться для целей оценки в контексте такой структуры и такой методологии.

d)    Процедуры использования результатов оценки безопасности при аттестации продуктов и систем ИТ находятся вне области действия ИСО/МЭК 15408. Аттестация продукта или системы ИТ является административным процессом, посредством которого предоставляются полномочия на их использование в конкретной среде эксплуатации. Оценка концентрируется на тех аспектах безопасности продукта или системы ИТ и среды эксплуатации, которые могут непосредственно влиять на безопасное использование элементов ИТ. Результаты процесса оценки безопасности являются, следовательно, важными исходными материалами для процесса аттестации. Однако, поскольку для оценки не связанных с ИТ характеристик безопасности продукта или системы, а также их соотнесения с аспектами безопасности ИТ более приемлемы другие способы, аттестующим следует предусмотреть для этих аспектов особый подход.

Издание официальное

е) ИСО/МЭК 15408 не включает в себя критерии для оценки специфических качеств криптографических алгоритмов. Если требуется независимая оценка математических свойств криптографии, встроенной в 00, то в системе оценки, в рамках которой применяется ИСО/МЭК 15408, должно быть предусмотрено проведение таких оценок.

Данная часть ИСО/МЭК 15408 устанавливает две формы представления функциональных требований и требований доверия к безопасности ИТ. Конструкция «профиль защиты» (ПЗ) предусматривает создание обобщенного, предназначенного для многократного использования набора этих требований безопасности. ПЗ может быть использован предполагаемыми потребителями для спецификации и идентификации продуктов с характеристиками безопасности ИТ, которые будут удовлетворять их потребностям. Задание по безопасности (ЗБ) содержит требования безопасности и специфицирует функции безопасности для конкретного продукта или системы, подлежащих оценке и называемых объектом оценки (ОО). ЗБ используется оценщиками в качестве основы для оценки, проводимой в соответствии с ИСО/МЭК 15408.

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

Примечание — Раздел 2 содержит только специфичные термины, которые используются во всем тексте ИСО/МЭК 15408. Большинство терминов в ИСО/МЭК 15408 применяется согласно словарным или общепринятым определениям, которые включены в глоссарии по безопасности ИСО или в другие широко известные сборники терминов по безопасности. Некоторые комбинации общих терминов, используемые в ИСО/МЭК 15408 и не вошедшие в настоящий раздел, объясняются непосредственно в тексте (в месте использования). Объяснение специфичных терминов и понятий, применяемых в ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3, можно найти в их соответствующих разделах «Парадигма».

2.1    активы (assets): Информация или ресурсы, подлежащие защите контрмерами ОО.

2.2    назначение (assignment): Спецификация определенного параметра в компоненте.

2.3    доверие (assurance): Основание для уверенности в том, что сущность отвечает своим целям безопасности.

2.4    потенциал нападения (attack potential): Прогнозируемый потенциал для успешного (в случае реализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя.

2.5    усиление (augmentation): Добавление одного или нескольких компонентов доверия из ИСО/МЭК 15408-3 в оценочный уровень доверия (ОУД) или пакет требований доверия.

2.6    аутентификационные данные (authentication data): Информация, используемая для верификации предъявленного идентификатора пользователя.

2.7    уполномоченный пользователь (authorised user): Пользователь, которому в соответствии с политикой безопасности объекта оценки (ПБО) разрешено выполнять некоторую операцию.

2.8    класс (class): Группа семейств, объединенных общим назначением.

2.9    компонент (component): Наименьшая выбираемая совокупность элементов, которая может быть включена в профиль защиты (ПЗ), задание по безопасности (ЗБ) или пакет.

2.10    связность (connectivity): Свойство объекта оценки (ОО), позволяющее ему взаимодействовать с сущностями ИТ, внешними по отношению к ОО. Данное взаимодействие включает в себя обмен данными по проводным или беспроводным средствам на любом расстоянии, в любой среде или при любой конфигурации.

2.11    зависимость (dependency): Соотношение между требованиями, при котором требование, от которого зависят другие требования, должно быть, как правило, удовлетворено с тем, чтобы и другие требования могли отвечать своим целям.

2.12    элемент (element): Неделимое требование безопасности.

2.13    оценка (evaluation): Оценка ПЗ, ЗБ илиОО по определенным критериям.

2.14    оценочный уровень доверия (evaluation assurance level): Пакет компонентов доверия из ИСО/МЭК 15408-3, представляющий некоторое положение на определенной в ИСО/МЭК 15408 шкале доверия.

2.15    орган оценки (evaluation authority): Организация, которая посредством системы оценки обеспечивает реализацию ИСО/МЭК 15408 для определенного сообщества и в связи с этим устанавливает стандарты и контролирует качество оценок, проводимых организациями в пределах данного сообщества.

ГОСТ Р ИСО/МЭК 15408-1—2008

2.16    система оценки (evaluation scheme): Административно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют ИСО/МЭК 15408.

2.17    расширение (extension): Добавление в ЗБ или ПЗ функциональных требований, не содержащихся в ИСО/МЭК 15408-2, и/или требований доверия, не содержащихся в ИСО/МЭК 15408-3.

2.18    внешняя сущность ИТ (external IT entity): Любой продукт или система ИТ, доверенные или нет, находящиеся вне ОО и взаимодействующие с ним.

2.19    семейство (family): Группа компонентов, которые направлены на достижение одних и тех же целей безопасности, но могут отличаться акцентами или строгостью.

2.20    формальный (formal): Выраженный на языке с ограниченным синтаксисом и определенной семантикой, основанной на установившихся математических понятиях.

2.21    документация руководств (guidance documentation): Документация руководств, описывающая поставку, установку, конфигурирование, эксплуатацию, управление и использование ОО в той части, в которой эти виды деятельности имеют отношение к пользователям, администраторам и интеграторам ОО. Требования к области применения и содержанию документированных руководств определяются в ПЗ и ЗБ.

2.22    человек-пользователь (human user): Любое лицо, взаимодействующее с ОО.

2.23    идентификатор (identity): Представление уполномоченного пользователя (например строка символов), однозначно его идентифицирующее. Таким представлением может быть полное или сокращенное имя этого пользователя или его псевдоним.

2.24    неформальный (informal): Выраженный на естественном языке.

2.25    внутренний канал связи (internal communication channel): Канал связи между разделенными частями ОО.

2.26    передача в пределах ОО (internal TOE transfer): Передача данных между разделенными частями ОО.

2.27    передача между ФБО (inter-TSF transfers): Передача данных между функциями безопасности объекта оценки (ФБО) и функциями безопасности других доверенных продуктов ИТ.

2.28    итерация (iteration): Более чем однократное использование компонента при различном выполнении операций.

2.29    объект (object): Сущность в пределах области действия ФБО (ОДФ), которая содержит или получает информацию и над которой субъекты выполняют операции.

2.30    политика безопасности организации (organisational security policies): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

2.31    пакет (package): Предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для удовлетворения совокупности определенных целей безопасности.

2.32    продукт (product): Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.

2.33    профиль защиты (protection profile): Независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя.

2.34    монитор обращений (reference monitor): Концепция абстрактной машины, осуществляющей политики управления доступом ОО.

2.35    механизм проверки правомочности обращений (reference validation mechanism): Реализация концепции монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования.

2.36    уточнение (refinement): Дополнение компонента деталями.

2.37    роль (role): Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и ОО.

2.38    секрет (secret): Информация, которая должна быть известна только уполномоченным пользователям и/или ФБО для осуществления определенной политики функции безопасности (ПФБ).

2.39    атрибут безопасности (security attribute): Характеристики субъектов, пользователей объектов, информации и/или ресурсов, которые используются для осуществления ПБО.

2.40    функция безопасности (security function): Функциональные возможности части или частей ОО, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО.

3

2.41    политика функции безопасности (security function policy): Политика безопасности, осуществляемая функцией безопасности (ФБ).

2.42    цель безопасности (security objective): Изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям.

2.43    задание по безопасности (security target): Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного 00.

2.44    выбор (selection): Выделение одного или нескольких элементов из перечня в компоненте.

2.45    полуформальный (semiformal): Выраженный на языке с ограниченным синтаксисом и определенной семантикой.

2.46    базовая СФБ (SOF-basic): Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от случайного нарушения безопасности 00 нарушителями с низким потенциалом нападения.

2.47    высокая СФБ (SOF-high): Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения.

2.48    средняя СФБ (SOF-medium): Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения.

2.49    стойкость функции безопасности (strength of function): Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения ее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмы безопасности.

2.50    субъект (subject): Сущность в пределах ОДФ, инициирующая выполнение операций.

2.51    система (system): Специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации.

2.52    объект оценки (target of evaluation): Продукт или система ИТ и связанная с ними документация руководств, являющиеся предметом оценки.

2.53    ресурс ОО (TOE resource): Все, что может быть использовано или потреблено ОО.

2.54    функции безопасности ОО (TOE security functions): Совокупность всех функций безопасности ОО, направленных на осуществление ПБО.

2.55    интерфейс функций безопасности ОО (TOE security functions interface): Совокупность интерфейсов как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам ОО при посредничестве ФБО или получение от ФБО какой-либо информации.

2.56    политика безопасности ОО (TOE security policy): Совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО.

2.57    модель политики безопасности ОО (TOE security policy model): Структурированное представление политики безопасности, которая должна быть осуществлена ОО.

2.58    передача за пределы области действия ФБО (transfers outside TSF control): Передача данных сущностям, не контролируемым ФБО.

2.59    доверенный канал (trusted channel): Средство взаимодействия между ФБО и удаленным доверенным продуктом ИТ, обеспечивающее необходимую степень уверенности в поддержании ПБО.

2.60    доверенный маршрут (trusted path): Средство взаимодействия между пользователем и ФБО, обеспечивающее необходимую степень уверенности в поддержании ПБО.

2.61    данные ФБО (TSF data): Данные, созданные ФБО или для ФБО, которые могут повлиять на выполнение ФБО.

2.62    область действия ФБО (TSF scope of control): Совокупность возможных взаимодействий с ОО или в его пределах, которые подчинены правилам ПБО.

2.63    пользователь (user): Любая сущность (человек-пользователь или внешняя сущность ИТ) вне ОО, которая взаимодействует с ОО.

2.64    данные пользователя (user data): Данные, созданные пользователем и для пользователя, которые не влияют на выполнение ФБО.

4

ГОСТ Р ИСО/МЭК 15408-1—2008

3 Обозначения и сокращения

В ИСО/МЭК 15408 применяют следующие сокращения:

ЗБ (ST)    — задание по безопасности;

ИТ (IT)    — информационная технология;

ИФБО (TSFI) — интерфейс функции безопасности объекта оценки;

ОДФ (TSC) — область действия функции безопасности объекта оценки; ОО(ТОЕ)    —объект оценки;

ОУД (EAL)    — оценочный уровень доверия;

ПБО (TSP) — политика безопасности объекта оценки;

ПЗ (РР)    —профиль защиты;

ПФБ (SFP) — политика функции безопасности;

СФБ (SOF) — стойкость функции безопасности;

ФБ (SF)    — функция безопасности;

ФБО (TSF) — функции безопасности объекта оценки.

4 Краткий обзор

В настоящем разделе представлены основные положения ИСО/МЭК 15408. В нем определены категории пользователей ИСО/МЭК 15408, контекст оценки и принятый подход к представлению материала.

4.1    Введение

Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, размещенная в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не будет подвергнута несанкционированной модификации. При выполнении продуктами или системами ИТ своих функций следует осуществлять надлежащее управление информацией для обеспечения ее защиты от опасностей нежелательного или неоправданного распространения, изменения или потери. Термин «безопасность ИТ» используется для того, чтобы рассмотреть предотвращение и уменьшение этих и подобных опасностей.

Многие потребители ИТ из-за недостатка знаний, компетентности или ресурсов, не будучи уверены в безопасности применяемых продуктов и систем ИТ, возможно, не захотят полагаться исключительно на заверения разработчиков. Чтобы повысить свою уверенность в мерах безопасности продукта или системы ИТ, потребители могут заказать проведение анализа безопасности этого продукта или системы (то есть оценку безопасности).

ИСО/МЭК 15408 может использоваться для выбора приемлемых мер безопасности ИТ. В нем содержатся критерии оценки требований безопасности.

4.1.1    Пользователи ИСО/МЭК 15408

В оценке характеристик безопасности продуктов и систем ИТзаинтересованывосновном потребители, разработчики и оценщики. Критерии, изложенные в настоящем стандарте, структурированы в интересах этих групп, потому что именно они рассматриваются как основные группы пользователей ИСО/МЭК 15408. В последующих подпунктах объяснено, какую пользу могут принести критерии каждой из этих групп.

4.1.1.1    Потребители

ИСО/МЭК 15408 играет важную роль в методической поддержке выбора потребителями требований безопасности ИТ для выражения своих потребностей. ИСО/МЭК 15408 разработан, чтобы обеспечить посредством оценки удовлетворение запросов потребителей, поскольку это является основной целью и логическим обоснованием процесса оценки.

Результаты оценки помогают потребителям решить, удовлетворяет ли оцениваемый продукт или система их потребности в безопасности. Эти потребности обычно определяются как следствие анализа рисков, а также направленности политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных продуктов и систем. Этому способствует иерархическое представление требований доверия.

5

ИСО/МЭК 15408 предоставляет потребителям, особенно входящим в группы и сообщества с едиными интересами, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки.

4.1.1.2    Разработчики

ИСО/МЭК 15408 предназначен для поддержки разработчиков при подготовке к оценке своих продуктов или систем и ее проведении, а также при установлении требований безопасности, которым должны удовлетворять каждый их продукт или система. Использование совместно с ИСО/МЭК 15408 методологии оценки, потенциально сопровождаемой соглашением о взаимном признании результатов оценки, позволит использовать ИСО/МЭК 15408 для поддержки иных лиц, помимо разработчиков ОО, при подготовке этого ОО к оценке и содействовать ее проведению.

Конструкции из ИСО/МЭК 15408 могут использоваться для формирования утверждения о соответствии ОО установленным для него требованиям посредством подлежащих оценке специфицированных функций безопасности и мер доверия. Требования для конкретного ОО содержатся в зависимой от реализации конструкции, называемой заданием по безопасности (ЗБ). Требования широкого круга потребителей могут быть представлены в одном или нескольких ПЗ.

В ИСО/МЭК 15408 изложены функции безопасности, которые разработчик мог бы включить в ОО. ИСО/МЭК 15408 можно также применять для определения обязанностей и действий по подготовке свидетельств, необходимых при проведении оценки ОО. Он также определяет содержание и представление таких свидетельств.

4.1.1.3    Оценщики

ИСО/МЭК 15408 содержит критерии, предназначенные для использования оценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям безопасности. В ИСО/МЭК 15408 приведено описание совокупности основныхдействий, выполняемыхоцен-щиком, и функций безопасности, к которым относятся эти действия. ИСО/МЭК 15408, однако, не определяет процедуры, которых следует придерживаться при выполнении данных действий.

4.1.1.4    Прочие

Хотя ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ для объектов оценки, он также может служить справочным материалом для тех, кто интересуется вопросами безопасности ИТ или несет ответственность за безопасность. Среди них можно выделить, например, следующие группы, представители которых смогут извлечь пользу из информации, содержащейся в ИСО/МЭК 15408:

a)    лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;

b)    аудиторы (внутренние и внешние), ответственные за оценку адекватности безопасности системы;

c)    проектировщики систем безопасности, ответственные за спецификацию основного содержания безопасности систем и продуктов ИТ;

d)    аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;

e)    заявители, заказывающие оценку и обеспечивающие ее проведение;

f)    органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.

4.2 Контекст оценки

Для достижения большей сравнимости результатов оценок их следует проводить в рамках полномочной системы оценки, которая предписывает стандарты, контролирует качество оценок и определяет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и оценщикам.

ИСО/МЭК 15408 не содержит требований к правовой базе. Однако согласованность правовой базы различных органов оценки является необходимым условием достижения взаимного признания результатов оценок. Основные элементы формирования контекста для оценок показаны на рисунке 1.

Использование общей методологии оценки позволяет достичь повторяемости и объективности результатов, но только этого недостаточно. Многие критерии оценки требуют привлечения экспертных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для повышения согласованности выводов, полученных при оценке, ее конечные результаты могут быть представлены на сертификацию. Процедура сертификации представляет собой независимую экспертизу результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публикуются и являются общедоступными. Сертификация является средством обеспечения большей согласованности в применении критериев безопасности ИТ.

6