НАЦИОНАЛЬНЫЙ СТАНДАРТ РЕСПУБЛИКИ КАЗАХСТАН Информационная безопасность, кибербезопасность и защита конфиденциальности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты обеспечения безопасности СТ РК ISO/IEC 15408-3-2024

1. ПОДГОТОВЛЕН И ВНЕСЕН Республиканским государственным предприятием на праве хозяйственного ведения «Казахстанский институт стандартизации и метрологии» Комитета технического регулирования и метрологии Министерства торговли и интеграции Республики Казахстан

2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Председателя Комитета технического регулирования и метрологии Министерства торговли и интеграции Республики Казахстан № 387-НҚ от 13 ноября 2024 года

3. Настоящий стандарт идентичен международному стандарту ISO/IEC 15408-3:2022 Information security, cybersecurity and privacy protection. Evaluation criteria for IT security. Part 3: Security assurance components (Информационная безопасность, кибербезопасность и защита конфиденциальности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты обеспечения безопасности)

Международный стандарт разработан техническим комитетом ISO/IEC JTC 1/SC 27

Перевод с английского языка (en)

Официальный экземпляр международного стандарта, на основе которого разработан настоящий стандарт, и официальные экземпляры международных стандартов, на которые даны ссылки, имеются в Едином государственном фонде нормативных технических документов

Официальной версией является текст на государственном и русском языке

Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств приведены в Приложении В.А

Степень соответствия - идентичная (IDT)

4. В настоящем стандарте реализованы положения Законов Республики Казахстан «О техническом регулировании» от 30 декабря 2020 года № 396-VI и «Об информатизации» от 24 ноября 2015 года № 418-V

5. ВВЕДЕН ВЗАМЕН СТ РК ISO/IEC 15408-3-2017 Информационные технологии. Методы и средства обеспечения безопасности. критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности, за исключением Раздела 7 «Оценочные уровни доверия»

Дата введения 2026-07-01

МКС 35.030 (IDT)

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом каталоге документов по стандартизации, а текст изменений и поправок - в периодически издаваемых информационных указателях стандартов. В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в периодически издаваемых информационных указателях стандартов 

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Комитета технического регулирования и метрологии Министерства торговли и интеграции Республики Казахстан.

Компоненты обеспечения безопасности, как установлено в настоящем стандарте, являются основой для требований обеспечения безопасности, выраженных в пакете обеспечения безопасности, профиле защиты (ПЗ), модуле ПЗ, конфигурации ПЗ или задание по безопасности (ЗБ).

Данные требования устанавливают стандартный способ выражения требований доверия к объекту оценки (ОО). Настоящий стандарт содержит набор компонентов доверия, семейств и классов. Настоящий стандарт также определяет критерии оценки для ПЗ, конфигураций ПЗ, модулей ПЗ и ЗБ.

Пользователями настоящего стандарта являются потребители, разработчики, технические рабочие группы, оценщики безопасных продуктов информационных технологий (IT-продуктов) и другие. ISO/IEC 15408-1:2022, раздел 5 предоставляет дополнительную информацию о целевой аудитории серии ISO/IEC 15408, а также об использовании серии ISO/IEC 15408 группами, составляющими целевую аудиторию. Данные группы могут использовать настоящий стандарт следующим образом:

а) Потребители могут использовать настоящий стандарт при выборе компонентов для выражения требований доверия, чтобы удовлетворить цели безопасности, выраженных в ПЗ или ЗБ, и при определении требуемых уровней доверия к безопасности ОО.

b) Разработчики, которые при построении ОО учитывают существующие или предполагаемые требования безопасности потребителей, ссылаются на настоящий стандарт при интерпретации требований доверия и определении подходов к обеспечению доверия к ОО.

c) Оценщики, которые используют требования доверия, определенные в настоящем стандарте, в качестве обязательного изложения критериев оценки при определении доверия к ОО и при оценке ПЗ и ЗБ.

Примечание - В некоторых случаях в настоящем стандарте используется жирный шрифт и курсив, чтобы отличать термины от остального текста.

Настоящий стандарт устанавливает требования доверия к безопасности, приведенные в сериях стандартов ISO/IEC 15408. Настоящий стандарт включает в себя отдельные компоненты доверия, из которых составлены уровни доверия оценки и другие пакеты, содержащиеся в ISO/IEC 15408-5, для оценки профилей защиты (ПЗ), конфигураций ПЗ, модулей ПЗ и задания по безопасности (ЗБ).

Для применения настоящего стандарта необходимы, следующие ссылочные документы. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения)

ISO/IEC 15408-1:2022 Information security. Evaluation criteria for IT security. Part 1: Introduction and general model (Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в IT. Часть 1: Введение и общая модель).

ISO/IEC 15408-2:2022 Information security. Evaluation criteria for IT security. Part 2: Security functional components (Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в IT. Часть 2: Функциональные компоненты безопасности).

ISO/IEC 15408-4:2022 Information security, cybersecurity and privacy protection. Evaluation criteria for IT security. Part 4: Framework for the specification of evaluation methods and activities (Информационная безопасность, кибербезопасность и защита конфиденциальности. Критерии оценки безопасности IT. Часть 4. Структура спецификации методов и действий оценки).

ISO/IEC 15408-5:2022 Information security. Evaluation criteria for IT security. Part 5: Pre-defined packages of security requirements (Информационная безопасность. Критерии оценки безопасности IT. Часть 5. Заранее определенные пакеты требований безопасности).

ISO/IEC 18045:2022 Information security, cybersecurity and privacy protection. Evaluation criteria for IT security. Methodology for IT security evaluation (Информационная безопасность, кибербезопасность и защита конфиденциальности. Критерии оценки IT-безопасности. Методология оценки IT-безопасности).

ISO/IEC IEEE 24765:2017 Systems and software engineering. Vocabulary (Системная и программная инженерия. Словарь).

В настоящем стандарте применяются термины по ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-4, ISO/IEC 15408-5, ISO/IEC 18045 и ISO/IEC IEEE 24765, а также следующие термины с соответствующими определениями:

Примечание - ISO и IEC поддерживают терминологические базы данных для использования в стандартизации по следующим адресам:

- ISO Онлайн платформа для просмотра: доступна на сайте https://www.iso.org/obp

- Электропедия IEC: доступно на сайте https://www.electropedia.org/

3.1 Процедуры принятия (acceptance procedure): Процедуры, используемые для того, чтобы принять вновь созданные или измененные элементы конфигурации (3.3) как часть OО, или перенести их на следующий этап жизненного цикла.

Примечания

1 Данные процедуры идентифицируют роли лиц, ответственных за принятие, и критерии, которые должны применяться для решения о принятии.

2 Существует несколько типов ситуаций принятия, некоторые из которых могут частично пересекаться:

a) принятие элемента под управление системы управления конфигурацией впервые, в частности в рамках процесса интеграции;

b) переход элементов конфигурации на следующую стадию жизненного цикла на каждом этапе построения ОО.