СТ РК ISO/IEC 15408-1-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»

Комитет технического регулирования и метрологии
Министерства по инвестициям и развитию Республики Казахстан
(Госстандарт)

СТ РК ISO/IEC 15408-1-2017

Информационные технологии
Методы и средства обеспечения безопасности
Критерии оценки безопасности информационных технологий

Часть 1. Введение и общая модель

(ISO/IEC 15408-1:2009 Information technology. Security techniques. Evaluation criteria

for IT security. Part 1: Introduction and general model, IDT)

Астана

Содержание

Введение

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Обозначения и сокращения

5 Краткий обзор

6 Общая модель

7 Доработка требований безопасности для конкретного применения

8 Профили защиты и пакеты

9 Результаты оценки

Приложение A (информационное) Спецификация заданий по безопасности

Приложение B (информационное) Спецификация профилей защиты

Приложение С (информационное)  Руководство по выполнению операций

Приложение D (информационное) Соответствие ПЗ

Приложение В.А (информационное) Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств

Библиография

Введение

ISO/IEC 15408 под общим названием Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в ИT состоит из следующих частей:

- Часть 1: Введение и общая модель

- Часть 2: Функциональные компоненты обеспечения безопасности

- Часть 3: Компоненты обеспечения гарантии безопасности

ISO/IEC 15408 допускает сопоставимость результатов независимых оценок безопасности. ISO/IEC 15408 делает это путем предоставления общего набора требований к функциональным возможностям безопасности ИТ-продуктов и мер доверия, применяемых к этим IT-продуктам в ходе оценки безопасности. Данные ИТ-продукты могут быть реализованы в аппаратных средствах, прошивке или программном обеспечении.

Процесс оценки устанавливает уровень уверенности в том, что функциональные возможности безопасности этих ИT-продуктов и меры доверия, применяемые к этим ИT-продуктам, соответствуют этим требованиям. Результаты оценки могут помочь потребителям определить, удовлетворяют ли эти IT-продукты их потребностям в безопасности.

ISO/IEC 15408 подходит в качестве руководства по разработке, оценке и/или закупкам IT-продуктов с функциями безопасности.

ISO/IEC 15408 является гибким, позволяющим применять ряд методов оценки для ряда свойств безопасности целого ряда ИТ-продуктов. В связи с этим пользователям стандарта рекомендуется следить за тем, чтобы эта гибкость не использовалась неправильно. Например, использование ISO/IEC 15408 в сочетании с неподходящими методами оценки, нерелевантными свойствами безопасности или несоответствующими IT-продуктами может привести к бессмысленным результатам оценки.