• Мое избранное
  • Сохранить в Word
  • Сохранить в Word
    (альбомная ориентация)
  • Сохранить в Word
    (с оглавлением)
  • Сохранить в PDF
  • Отправить по почте
Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
Документ показан в демонстрационном режиме! Стоимость: 1999 тг/год

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Скопировать ссылку
  • Редакции абзаца 
Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ 
СТ РК ISO/IEC 15408-2-2017
Данный стандарт действует на территории РК в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2017 года № 334-од
Дата введения - 01.01.2019
Предисловие
1 ПОДГОТОВЛЕН И ВНЕСЕН АО «Национальный инфокоммуникационный Холдинг «Зерде»
2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Председателя Комитета технического регулирования и метрологии Министерства по инвестициям и развитию Республики Казахстан от 24 ноября 2017 года № 334-од.
3 Настоящий стандарт идентичен международному стандарту ISO/IEC 15408-2:2008 Technologiesdel'information — Techniquesdesécurité — Critèresd'évaluationpourlasécurité TI —Partie 2: Composantsfonctionnelsdesécurité (Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности)
Официальной версией является текст на государственном и русском языке.
Международный стандарт разработан техническим комитетом ISO/IEC JTC 1Информационные технологии, SC 31, Технологии автоматической идентификации и сбора данных.
Перевод с английского языка (en).
Официальный экземпляр стандарта, на основе которого подготовлен настоящий национальный стандарт и на которые даны ссылки, имеются в Едином государственном фонде нормативных технических документов.
Сведения о соответствии стандартов (межгосударственных) ссылочным международным стандартам приведены в дополнительном приложении В.А.
Степень соответствия - идентичная (IDT).
4 В настоящем стандарте реализованы положения Законов Республики Казахстан «О техническом регулировании» от 9 ноября 2004 года № 603-II и «О языках в Республике Казахстан» от 11 июля 1997 года № 151-I и «Об информатизации» от 24 ноября 2015 года № 418-V.
6 СРОК ПЕРВОЙ ПРОВЕРКИ 2024 год
ПЕРИОДИЧНОСТЬ ПРОВЕРКИ 5 лет
7 ВВЕДЕН ВЗАМЕН СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006«Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»
Введение
ISO/IEC 15408 под общим названием Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в IT состоит из следующих частей:
— часть 1. Введение и общая модель;
— часть 2. Функциональные компоненты обеспечения безопасности;
— часть 3. Компоненты обеспечения гарантии безопасности.
Функциональные компоненты безопасности, которые определены в данной части ISO/IEC 15408, являются основой для функциональных требований безопасности, отражаемых в профиле защиты (ПЗ) или задании по безопасности (ЗБ). Эти требования описывают необходимый режим функционирования объекта оценки (ОО) и направлены на достижение целей безопасности, определяемых в ПЗ или ЗБ. Эти требования описывают свойства безопасности, которые могут выявить пользователи путем непосредственного взаимодействия с ИТ (то есть при вводе, выводе информации) или по отклику ИТ на некоторое взаимодействие. Функциональные компоненты безопасности отражают требования безопасности, направленные на противодействие угрозам в предполагаемой среде функционирования ОО и выполнение принятых в организации политик и предположений безопасности.
Этот стандарт предназначается для потребителей, разработчиков и оценщиков продуктов, обеспечивающих безопасность ИТ. В пятом разделе стандарта ISO/IEC 15408-1 представлена дополнительная информация о целевой аудитории ISO/IEC 15408, а также по использованию ISO/IEC 15408 отельными группами, составляющими целевую аудиторию. Эти группы могут использовать данную часть ISO/IEC 15408 следующим образом:
a) потребители используют данную часть ISO/IEC 15408 для выбора компонентов, выражающих функциональные требования для удовлетворения целей безопасности, отраженных в ПЗ или ЗБ. В ISO/IEC 15408-1 дается более детальная информация по поводу взаимосвязи между целями и требованиями безопасности;
b) разработчики, которые при разработке ОО учитывают существующие предполагаемые требования безопасности потребителей, могут найти в данной части ISO/IEC 15408 стандартизированный метод понимания этих требований. Также они могут использовать данную часть ISO/IEC 15408 как основу для дальнейшего определения функциональных возможностей и механизмов безопасности ОО, соответствующих этим требованиям;
c) оценщики могут использовать функциональные требования, определенные в данной части ISO/IEC 15408, для подтверждения того, что функциональные требования к ОО, отраженные в ПЗ или ЗБ, удовлетворяют целям безопасности ИТ, а все зависимости учтены и продемонстрировано их удовлетворение. Также оценщикам следует использовать данную часть ISO/IEC 15408 при вынесении заключения о том, удовлетворяет ли данный ОО предъявленным к нему требованиям.
1 Область применения
Настоящий стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает в себя каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов ИТ.
2 Нормативные ссылки
Для применения настоящего стандарта необходимы следующие ссылочные документы. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения):
ISO/IEC 15408-1:2009 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model (Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в ИТ. Часть 1. Введение и общая модель
3 Термины и определения
В настоящем стандарте применяются следующие термины, определения и обозначения по ISO/IEC 15408-1.
4 Краткий обзор
ISO/IEC 15408 и соответствующие функциональные требования безопасности, описанные ниже, не предназначены для окончательного решения всех задач безопасности IT. Настоящий стандарт предлагает совокупность продуманных функциональных требований безопасности, которые могут применяться при создании доверенных продуктов или систем IT, отвечающих потребностям рынка. Эти функциональные требования безопасности представляют современный уровень спецификации требований и оценки.
Данная часть стандарта ISO/IEC 15408 включает только те функциональные требования безопасности, которые на момент издания стандарта были известны и одобрены его разработчиками.
Так как знания и потребности пользователей могут меняться, функциональные требования, представленные в настоящем стандарте, нуждаются в дальнейшем сопровождении. Некоторые разработчики ПЗ/ЗБ могут иметь потребности в безопасности, не охваченные компонентами функциональных требований, представленными в настоящем стандарте. В данном случае разработчик ПЗ/ЗБ может предпочесть использование нестандартных функциональных требований («расширяемость») в соответствии с ISO/IEC 15408-1, приложения А и В.
4.1 Структура данной части стандарта ISO/IEC 15408
В разделе 5 приведено описание парадигмы, используемой в функциональных требованиях безопасности настоящего стандарта ISO/IEC 15408.
Раздел 6 представляет собой каталог функциональных компонентов, в то время как в разделах 7-17 приведено описание функциональных классов.
Приложение А содержит информацию для потенциальных пользователей функциональных компонентов, включая таблицы перекрестных ссылок зависимостей функциональных компонентов.
Приложения В-M содержат информацию для функциональных классов. Этот материал должен рассматриваться в качестве нормативных инструкций по применению соответствующих операций и выбору необходимой информации для аудита и документирования; использование глагола «следует» означает, что конкретная инструкция является предпочтительной, но и другие могут быть обоснованы. В случае, если приводят различные варианты, выбор остается за автором ПЗ/ЗБ.
Раздел 2 стандарта содержит требования на предмет соответствующих структур, правил и рекомендаций:
a) ISO/IEC 15408-1, раздел 3 определяет термины, используемые в ISO/IEC 15408;
b) ISO/IEC 15408-19, приложение А, определяет структуру профилей защиты;
c) ISO/IEC 15408-1, приложение В, определяет структуру заданий по безопасности;
5 Парадигма функциональных требований
В данном разделе приведена парадигма функциональных требований безопасности настоящего стандарта. Рассматриваемые ключевые понятия выделены полужирным курсивом/скобками. Данный подраздел не предназначен для замены терминов раздела 3 стандарта ISO/IEC 15408-1.
Настоящий стандарт содержит каталог функциональных требований безопасности, которые могут быть предъявлены к объекту оценки (ОО). ОО - это продукт или система IT (вместе с руководствами администратора и пользователя), содержащие ресурсы типа электронных носителей, данных (таких, как диски), периферийных устройств (таких, как принтеры) и вычислительных возможностей (таких, как процессорное время), которые могут использоваться для обработки и хранения информации и являются предметом оценки.
Оценка, подтверждает, что в отношении ресурсов ОО осуществляется определенная политика безопасности ОО (ПБО). ПБО определяет правила, по которым ОО управляет доступом к своим ресурсам и ко всей информации и сервисам, контролируемым ОО.