СТ РК ISO/IEC 15408-3-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты»

СТ РК ISO/IEC 15408-3-2017

Информационные технологии
Методы и средства обеспечения безопасности
Критерии оценки безопасности информационных технологий
Часть 3. Требования к обеспечению защиты

(ISO/IEC 15408-3:2008 Information technology. Security techniques.

Evaluation criteria for IT security. Part 3: Security assurance components, IDT)

Содержание

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Обзор

5. Парадигма доверия

6. Компоненты обеспечения безопасности

7. Уровни обеспечения оценки (УОО)

8. Составные пакеты обеспечения

9. Класс ОЗП: оценка профиля защиты

10. Класс ООБ: оценка безопасности

11. Класс ОРА: разработка

12. Класс ОРД: Руководящие документы

13. ОЖЦ класса: поддержка жизненного цикла

14. Класс ОТЕ: Тесты

15. Класс ООУ: оценка уязвимости

16. Класс ОКО: Состав

Приложение А (информационное). Разработка (ОРА)

Приложение В (информационное). Состав (ОКО)

Приложение С (информационное). Перекрестная ссылка на зависимости компонента обеспечения

Приложение D (информационное). Перекрестная ссылка на ПЗ и компоненты обеспечения

Приложение Е (информационное). Перекрестные ссылки ОУД и компонентов доверия

Приложение F (информационное). Перекрестные ссылки между СоПД и компонентами доверия

Приложение В.А. (информационное). Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств

Введение

ISO/IEC 15408 под общим названием Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности в IT состоит из следующих частей:

- Часть 1: Введение и общая модель

- Часть 2: Функциональные компоненты обеспечения безопасности

- Часть 3: Компоненты обеспечения гарантии безопасности

Функциональные компоненты безопасности, определенные в данной части ISO/IEC 15408, являются основой для выражения функциональных требований безопасности в профиле защиты (далее - ПЗ) или задании по безопасности (далее - ЗБ). Данные требования содержат описание безопасного режима функционирования объекта оценки (далее - ОО) или IT-среды ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Данные требования содержат свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с IT (то есть при входе и выходе) или при реакции IT на запросы.

Функциональные компоненты безопасности выражают требования безопасности, направленные на противостояние угрозам в предполагаемой среде эксплуатации ОО и/или охватывающие любую идентифицированную политику безопасности организации и предположения.

Пользователи для данной части ISO/IEC 15408 включает в себя потребителей, разработчиков и оценщиков безопасных IT-систем и продуктов. Дополнительная информация о потенциальных пользователях ISO/IEC 15408 и использовании ISO/IEC 15408 группами, которые включают в себя потенциальных пользователей, представлена в Разделе 5, ISO/IEC 15408-1. Эти группы могут использовать данную часть ISO/IEC 15408 следующим образом: