|
| Статус: | действующий (Введен впервые) |
|
| Обозначение: | ГОСТ Р ИСО/МЭК ТО 15446-2008 |
|
| Название: | Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности |
|
| Дата актуализации текста: | 08.10.2010 |
|
| Дата добавления в систему: | 08.10.2010 |
|
| Дата введения в действие: | 01.10.2009 |
|
| Разработан в: | ООО "Центр безопасности информации" (ООО "ЦБИ") |
|
| Утверждён в: | Ростехрегулирование (18.12.2008) |
|
| Опубликован в: | Стандартинформ № 2010 |
|
| Область и условия применения: | Настоящий стандарт представляет собой руководство по разработке профилей защиты и заданий по безопасности продуктов и систем ИТ в соответствии с комплексом стандартов ИСО/МЭК 15408 (общие критерии).
Руководство предназначено для разработчиков и оценщиков профилей защиты (ПЗ) и заданий по безопасности (ЗБ), а также может представлять интерес для пользователей ПЗ и ЗБ, позволяя им понять, чем руководствовались авторы ПЗ и ЗБ при их разработке, и на какие части ПЗ и ЗБ следует обратить особое внимание.
Предполагается, что пользователи настоящего стандарта хорошо знакомы с требованиями ИСО/МЭК 15408-1 и, в частности, с приложениями В и С к нему, в которых приведено описание ПЗ и ЗБ. Авторам ПЗ и ЗБ, конечно, следует быть хорошо знакомыми с другими стандартами комплекса ИСО/МЭК 15408, включая введение, например, с парадигмой функциональных требований, описанной в ИСО/МЭК 15408-2 (подраздел 1.3).
Настоящий стандарт представляет собой информационный технический отчет ИСО, предназначенный для использования только в качестве руководства. По своему содержанию и структуре его не следует рассматривать как стандарт для оценки ПЗ и ЗБ. Предполагается, что настоящий стандарт полностью соответствует ИСО/МЭК 15408; тем не менее, в случае любого несоответствия между настоящим стандартом и ИСО/МЭК 15408 последнему в качестве нормативного следует отдавать предпочтение.
В настоящем стандарте не рассматриваются такие вопросы, как регистрация ПЗ и связанные с этим задачи - обращение с защищаемой интеллектуальной собственностью (например, патентами) в ПЗ. Информацию по регистрации ПЗ. |
|
| Оглавление: | 1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Сокращения
5 Цель
6 Краткий обзор профилей защиты и заданий по безопасности
6.1 Введение
6.2 Содержание профилей защиты и заданий по безопасности
6.3 Взаимосвязь между профилями защиты и заданиями по безопасности
6.4 Учет информационных потребностей потенциальных пользователей профилей защиты и заданий по безопасности
6.5 Процесс разработки профилей защиты и заданий по безопасности
6.6 Семейства профилей защиты
7 Описательные разделы профилей защиты и заданий по безопасности
7.1 Введение
7.2 Описательные части профиля защиты и задания по безопасности
8 Среда безопасности объекта оценки
8.1 Введение
8.2 Идентификация и спецификация предположений безопасности
8.3 Идентификация и спецификация угроз
9 Цели безопасности
9.1 Введение
9.2 Спецификация целей безопасности для объекта оценки
9.3 Спецификация целей безопасности для среды объекта оценки
10 Требования безопасности
10.1 Введение
10.2 Спецификация функциональных требований безопасности в профиле защиты или задании по безопасности
10.3 Спецификация в профилях защиты или заданиях по безопасности требований доверия к безопасности
10.4 Требования безопасности для среды
11 Краткая спецификация объекта оценки
11.1 Введение
11.2 Спецификация функций безопасности информационных технологий
11.3 Спецификация механизмов безопасности
11.4 Спецификация мер доверия к безопасности
12 Утверждения о соответствии профилей защиты
12.1 Введение
12.2 Ссылка на профили защиты
12.3 Конкретизация профилей защиты
12.4 Дополнение профилей защиты
13 Разделы «Обоснование» профилей защиты и заданий по безопасности
13.1 Введение
13.2 Представление в профилях защиты и заданиях по безопасности обоснования целей безопасности
13.3 Представление в профилях защиты и заданиях по безопасности обоснования требований безопасности
13.3.1 Демонстрация пригодности требований безопасности
13.3.2 Демонстрация пригодности требований доверия к безопасности
13.3.3 Демонстрация пригодности требований к стойкости функций безопасности
13.3.4 Демонстрация взаимной поддержки требований безопасности
13.3.5 Демонстрация соответствия мер доверия к безопасности требованиям доверия к безопасности
13.3.6 Демонстрация соответствия задания по безопасности профилям защиты
13.3.7 Демонстрация того, что функции безопасности удовлетворяют функциональным требованиям безопасности
14 Профили защиты и задания по безопасности для составных объектов оценки и объектов оценки, входящих в состав других объектов оценки
14.1 Введение
14.2 Составной объект оценки
14.3 Объект оценки - компонент
15 Функциональные пакеты и пакеты требований доверия к безопасности
15.1 Общая информация
15.2 Формирование функционального пакета
15.3 Спецификация пакета требований доверия к безопасности
Приложение А (рекомендуемое) Резюме
Приложение В (рекомендуемое) Основные примеры
Приложение С (рекомендуемое) Спецификация криптографических функциональных возможностей
Приложение D (рекомендуемое) Рабочий пример: профиль защиты и задание по безопасности для межсетевого экрана
Приложение Е (рекомендуемое) Рабочий пример: профиль защиты для системы управления базой данных
Приложение F (рекомендуемое) Рабочий пример: профиль защиты третьей доверенной стороны
Приложение G (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
Библиография |
|