• Мое избранное
  • Сохранить в Word
  • Сохранить в Word
    (альбомная ориентация)
  • Сохранить в Word
    (с оглавлением)
  • Сохранить в PDF
  • Отправить по почте
Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий, Часть 1. Введение и общая модель
Документ показан в демонстрационном режиме! Стоимость: 1999 тг/год

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Скопировать ссылку
  • Редакции абзаца 
Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
СТ РК ISO/IEC 15408-1-2017 
(ISO/IEC 15408-1:2009 Information technology. Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model, IDT)
Данный стандарт действует на территории РК в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2017 года № 334-од
Дата введения: 01-01-2019
Предисловие
1 ПОДГОТОВЛЕН И ВНЕСЕН АО «Национальный инфокоммуникационный Холдинг «Зерде»
2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2017 года № 334-од.
3 Настоящий стандарт идентичен международному стандарту ISO/IEC 15408-1:2009 Informationtechnology. Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model (Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель)
Официальной версией является текст на государственном и русском языке
Международный стандарт разработан техническим комитетом ISO/IEC JTC 1 Информационные технологии, SC 31, Технологии автоматической идентификации и сбора данных.
Перевод с английского языка (en).
Официальный экземпляр стандарта, на основе которого подготовлен настоящий национальный стандарт и на которые даны ссылки, имеются в Едином государственном фонде нормативных технических документов.
Сведения о соответствии стандартов (межгосударственных) ссылочным международным стандартам приведены в дополнительном приложении В.А.
Степень соответствия - идентичная (IDT).
4 В настоящем стандарте реализованы положения Законов Республики Казахстан «О техническом регулировании» от 09 ноября 2004 года № 603-II и «Об информатизации» от 24 ноября 2015 года № 418-V.
5 СРОК ПЕРВОЙ ПРОВЕРКИ 2024 год
ПЕРИОДИЧНОСТЬ ПРОВЕРКИ 5 лет
6 ВВЕДЕН ВЗАМЕН СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
Введение
ISO/IEC 15408 под общим названием Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в ИT состоит из следующих частей:
ISO/IEC 15408 под общим названием Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в ИT состоит из следующих частей:
- Часть 1:  Введение и общая модель
- Часть 1:  Введение и общая модель
- Часть 2 : Функциональные компоненты обеспечения безопасности
- Часть 2 : Функциональные компоненты обеспечения безопасности
- Часть 3:  Компоненты обеспечения гарантии безопасности
- Часть 3:  Компоненты обеспечения гарантии безопасности
ISO/IEC 15408 допускает сопоставимость результатов независимых оценок безопасности. ISO/IEC 15408 делает это путем предоставления общего набора требований к функциональным возможностям безопасности ИТ-продуктов и мер доверия, применяемых к этим IT-продуктам в ходе оценки безопасности. Данные ИТ-продукты могут быть реализованы в аппаратных средствах, прошивке или программном обеспечении.
Процесс оценки устанавливает уровень уверенности в том, что функциональные возможности безопасности этих ИT-продуктов и меры доверия, применяемые к этим ИT-продуктам, соответствуют этим требованиям. Результаты оценки могут помочь потребителям определить, удовлетворяют ли эти IT-продукты их потребностям в безопасности.
ISO/IEC 15408 допускает сопоставимость результатов независимых оценок безопасности. ISO/IEC 15408 делает это путем предоставления общего набора требований к функциональным возможностям безопасности ИТ-продуктов и мер доверия, применяемых к этим IT-продуктам в ходе оценки безопасности. Данные ИТ-продукты могут быть реализованы в аппаратных средствах, прошивке или программном обеспечении.
Процесс оценки устанавливает уровень уверенности в том, что функциональные возможности безопасности этих ИT-продуктов и меры доверия, применяемые к этим ИT-продуктам, соответствуют этим требованиям. Результаты оценки могут помочь потребителям определить, удовлетворяют ли эти IT-продукты их потребностям в безопасности.
ISO/IEC 15408 подходит в качестве руководства по разработке, оценке и/или закупкам IT-продуктов с функциями безопасности.
ISO/IEC 15408 подходит в качестве руководства по разработке, оценке и/или закупкам IT-продуктов с функциями безопасности.
ISO/IEC 15408 является гибким, позволяющим применять ряд методов оценки для ряда свойств безопасности целого ряда ИТ-продуктов. В связи с этим пользователям стандарта рекомендуется следить за тем, чтобы эта гибкость не использовалась неправильно. Например, использование ISO/IEC 15408 в сочетании с неподходящими методами оценки, нерелевантными свойствами безопасности или несоответствующими IT-продуктами может привести к бессмысленным результатам оценки.
ISO/IEC 15408 является гибким, позволяющим применять ряд методов оценки для ряда свойств безопасности целого ряда ИТ-продуктов. В связи с этим пользователям стандарта рекомендуется следить за тем, чтобы эта гибкость не использовалась неправильно. Например, использование ISO/IEC 15408 в сочетании с неподходящими методами оценки, нерелевантными свойствами безопасности или несоответствующими IT-продуктами может привести к бессмысленным результатам оценки.
Факт проведения оценки ИТ-продукта имеет значение только в контексте свойств безопасности, которые были оценены, и использованных методов оценки. Оценивающим органам рекомендуется проверять продукты, свойства и методы в целях определения смыслового значения результатов, которые даст оценка. Кроме того, покупателям оцененных продуктов рекомендуется рассмотреть этот контекст для определения пригодности и применимости оцененного продукта к их конкретной ситуации и потребностям.
Факт проведения оценки ИТ-продукта имеет значение только в контексте свойств безопасности, которые были оценены, и использованных методов оценки. Оценивающим органам рекомендуется проверять продукты, свойства и методы в целях определения смыслового значения результатов, которые даст оценка. Кроме того, покупателям оцененных продуктов рекомендуется рассмотреть этот контекст для определения пригодности и применимости оцененного продукта к их конкретной ситуации и потребностям.
ISO/IEC 15408 затрагивает вопросы защиты от несанкционированного раскрытия, изменения или потери использования активов. Категории защиты, относящиеся к этим трем типам нарушения безопасности, обычно соответственно называются конфиденциальностью, целостностью и доступностью. ISO/IEC 15408 также может быть применим к аспектам безопасности ИT за пределами этих трех свойств. ISO/IEC 15408 применим к рискам, связанным с деятельностью человека (злонамеренным или иным), а также к рискам, сопряженным с деятельностью, не связанной с человеком. Помимо безопасности ИТ, ISO/IEC 15408 может применяться в других областях ИT, но не заявляет требований на применимость в этих областях.
Некоторые темы, поскольку являются связанными со специализированными технологиями или относятся к безопасности ИT скорее косвенным образом, считаются выходящими за рамки стандарта ISO/IEC 15408. Некоторые из них указаны ниже.
ISO/IEC 15408 затрагивает вопросы защиты от несанкционированного раскрытия, изменения или потери использования активов. Категории защиты, относящиеся к этим трем типам нарушения безопасности, обычно соответственно называются конфиденциальностью, целостностью и доступностью. ISO/IEC 15408 также может быть применим к аспектам безопасности ИT за пределами этих трех свойств. ISO/IEC 15408 применим к рискам, связанным с деятельностью человека (злонамеренным или иным), а также к рискам, сопряженным с деятельностью, не связанной с человеком. Помимо безопасности ИТ, ISO/IEC 15408 может применяться в других областях ИT, но не заявляет требований на применимость в этих областях.
a) ISO/IEC 15408 не содержит критериев оценки безопасности, относящихся к административным мерам безопасности, не связанным непосредственно с функциональностью безопасности ИТ. Вместе с тем признается, что административными мерами, такими как организационный, кадровый, физический и процедурный контроль, может часто достигаться или поддерживаться значительная степень безопасности.
Некоторые темы, поскольку являются связанными со специализированными технологиями или относятся к безопасности ИT скорее косвенным образом, считаются выходящими за рамки стандарта ISO/IEC 15408. Некоторые из них указаны ниже.
a) ISO/IEC 15408 не содержит критериев оценки безопасности, относящихся к административным мерам безопасности, не связанным непосредственно с функциональностью безопасности ИТ. Вместе с тем признается, что административными мерами, такими как организационный, кадровый, физический и процедурный контроль, может часто достигаться или поддерживаться значительная степень безопасности.
b) Оценка некоторых технических физических аспектов безопасности ИТ, таких как управление электромагнитным излучением, конкретно не рассматривается, однако многие из рассмотренных концепций являются применимыми к этой области.
c) В ISO/IEC 15408 не рассматривается методология оценки, в соответствии с которой критерии должны применяться. Данная методология приведена в ISO/IEC 18045.
b) Оценка некоторых технических физических аспектов безопасности ИТ, таких как управление электромагнитным излучением, конкретно не рассматривается, однако многие из рассмотренных концепций являются применимыми к этой области.
d) В ISO/IEC 15408 не рассматриваются административные и правовые рамки, в соответствии с которыми критерии могут применяться органами оценки. Однако ожидается, что ISO/IEC 15408 будет использоваться в контексте такой структуры для целей оценки.
c) В ISO/IEC 15408 не рассматривается методология оценки, в соответствии с которой критерии должны применяться. Данная методология приведена в ISO/IEC 18045.
e) Процедуры использования результатов оценки при аккредитации не входят в сферу применения стандарта ISO/IEC 15408. Аккредитация - это административный процесс, при котором предоставляются полномочия на эксплуатацию ИТ-продукта (или его набора) в его полной операционной среде, включая все ее части, не связанные с ИT. Результаты процесса оценки являются частью при процессе аккредитации. Однако, поскольку для оценки свойств, не связанных с ИТ и их отношению к части безопасности ИT, более подходят другие методы, по данным аспектам аккредитующими лицами должны делаться отдельные положения.
d) В ISO/IEC 15408 не рассматриваются административные и правовые рамки, в соответствии с которыми критерии могут применяться органами оценки. Однако ожидается, что ISO/IEC 15408 будет использоваться в контексте такой структуры для целей оценки.
f) Предмет критериев оценки качеств, присущих криптографическим алгоритмам, не рассматривается в ISO/IEC 15408. В случаях необходимости независимой оценки математических свойств криптографии должна предусматриваться схема оценки, в соответствии с которой при оценивании применяется ISO/IEC 15408.