ГОСТ Р 54583-2011/
ISO/IEC/TR 15443-3:2007

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы доверия к безопасности информационных технологий

Часть 3

Анализ методов доверия

Information technology. Security techniques. A framework for IT security assurance. Part 3. Analysis of assurance methods

ОКС 35.040

Дата введения 2012-12-01

     
Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности" (ООО "ЦБИ") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК-362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 691-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TR 15443-3:2007* "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия" (ISO/IEC TR 15443-3:2007 ("Information technology - Security techniques - A framework for IT security assurance - Part 3: Analysis of assurance methods")

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Назначением ИСО/МЭК ТО 15443 является представление различных методов обеспечения доверия и содействие специалистам в области ИТ в выборе соответствующего метода обеспечения доверия (или комбинации методов) с целью получения уверенности в том, что оцениваемый объект удовлетворяет установленным для него требованиям доверия к безопасности ИТ. В ИСО/МЭК ТО 15443 изучаются подходы и методы обеспечения доверия, предложенные организациями различного типа, независимо от того, являются ли эти методы и подходы частью утвержденных или неофициальных стандартов.

ИСО/МЭК ТО 15443 рассматривает:

- структурную модель взаимосвязи существующих методов обеспечения доверия;

- совокупность методов обеспечения доверия, их описание и ссылки на них;

- представление общих и уникальных свойств, присущих методам обеспечения доверия;

- качественное и по возможности количественное сравнение существующих методов обеспечения доверия;

- идентификацию систем оценки доверия, связанных с методами обеспечения доверия;

- описание взаимосвязей между различными методами обеспечения доверия;

- руководство по созданию, применению и идентификации методов обеспечения доверия.

ИСО/МЭК ТО 15443 состоит из трех частей:

- часть 1. Обзор и основы; представляет собой обзор фундаментальных концепций и общее описание методов обеспечения доверия. Данный материал способствует пониманию частей 2 и 3 ИСО/МЭК ТО 15443. Часть 1 предназначена для руководителей в области безопасности, ответственных за разработку программы обеспечения доверия к безопасности, определение степени доверия к безопасности своих объектов, осуществление проверки оценки степени доверия [например, ИСО 9000, SSE-CMM (ИСО/МЭК 21827), ИСО/МЭК 15408-3] или других видов деятельности по обеспечению доверия;

- часть 2. Методы доверия; приводится описание различных методов обеспечения доверия и подходов их связи со структурной моделью обеспечения доверия к безопасности из части 1. Акцент делается на идентификацию качественных характеристик методов обеспечения доверия. Данный документ способствует пониманию специалистом в области безопасности ИТ процедуры получения доверия на различных этапах жизненного цикла объекта;

- часть 3. Анализ методов доверия; приводится анализ обеспечения доверия относительно их различных характеристик. Анализ способствует принятию органом обеспечения доверия решения по относительной значимости каждого подхода к обеспечению доверия и выбору подхода(ов), который(е) обеспечит(ат) результаты, наиболее соответствующие требованиям этого органа. Анализ также способствует органу обеспечения доверия в использовании результатов доверия для получения требуемой уверенности в объекте. Данный документ предназначен для специалистов в области безопасности ИТ, которые должны осуществить выбор методов обеспечения доверия и подходов к ним.

В ИСО/МЭК ТО 15443 анализируются методы обеспечения доверия, которые могут предназначаться не только для безопасности ИТ; однако руководство, приведенное в ИСО/МЭК ТО 15443, ограничивается требованиями к безопасности ИТ. В ИСО/МЭК ТО 15443 включены дополнительные термины и понятия, регламентированные в других инициативах международной стандартизации (CASCO) и международных руководствах (например, в Руководстве 2 ИСО/МЭК), однако представленное в ИСО/МЭК ТО 15443 руководство предназначено только для области обеспечения безопасности ИТ и не предназначено для общего менеджмента и оценки качества или обеспечения соответствия ИТ требованиям безопасности.

     1 Область применения

     1.1 Назначение

Назначением настоящего стандарта является предоставление органу по обеспечению доверия общего руководства по выбору подходящего метода обеспечения доверия к информационными коммуникационным технологиям и формированию структуры анализа конкретных методов обеспечения доверия в конкретных условиях.

     1.2 Применение

Настоящий стандарт позволяет пользователю согласовывать конкретные требования доверия и/или типичные ситуации с доверием с общими характеристиками имеющихся методов обеспечения доверия.

     1.3 Область применения

Руководство, представленное в настоящем стандарте, применимо для разработки, внедрения и эксплуатации продуктов и систем информационных и коммуникационных технологий с требованиями безопасности.

     1.4 Недостатки

Требования безопасности могут быть слишком сложными, методы обеспечения доверия - очень разнородными, а ресурсы и корпоративные культуры организаций могут в значительной степени отличаться друг от друга.

По этим причинам руководство, приведенное в настоящем стандарте, является кратким и относится к качественным характеристикам, и пользователю следует самому принимать решение о том, какие методы в соответствии с ИСО/МЭК ТО 15443-2 лучше всего соответствуют его конкретным объектам и соответствуют требованиям безопасности организации.

     2 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК ТО 15443-1 и ИСО/МЭК ТО 15443-2, а также следующие термины с соответствующими определениями.

2.1 активы (assets): Все, имеющее ценность для организации.

2.2 оценка (assessment): Систематическая проверка степени, в которой субъект способен выполнить определенные требования; является синонимом термина "оценивание" при применении к объекту.

[ISO/IEC 14598-1].

2.3 метод оценки (assessment method): Действие по применению конкретных документированных критериев оценки к объекту с целью определения приемлемости или разрешения на выпуск этого объекта.

2.4 орган обеспечения доверия (assurance authority): Лицо или организация, уполномоченные принимать решения (например, по выбору, спецификации, принятию, контролю за исполнением), связанные с обеспечением доверия к объекту, что однозначно приводит к формированию уверенности в безопасности объекта.

Примечание - В конкретных системах и организациях термин "орган обеспечения доверия" может иметь вид "орган оценки".

2.5 администратор доверия (assurance administrator): Лицо, ответственное (подотчетное) за выбор, внедрение или приемку объекта.

2.6 цель обеспечения доверия (assurance goal): Общие ожидаемые результаты в области безопасности, получаемые посредством применения действий по формальной и неформальной оценке.

2.7 предмет обеспечения доверия (assurance concern): Общий тип цели доверия, выполняемой главной группой органов доверия.

Примечание - В настоящем стандарте предмет доверия используется в целях обоснования анализов и выводов для руководства по обеспечению доверия, данного группе пользователей.

2.8 объект (deliverable): Продукт безопасности информационной технологии, система, услуга, процесс или в особенности фактор среды (то есть персонал, организация) как объект оценки доверия.

Примечания

1 Как определено ИСО/МЭК 15408-1, объектом может быть профиль защиты (ПЗ) или задание по безопасности (ЗБ).

2 В ИСО 9000 утверждается, что при использовании стандартов ИСО 9000 услугой является тип продукта или "продукта и/или услуги".

3 В настоящем стандарте и аналогично применению в ИСО 9000 термин "продукт" будет применяться вместо термина "объект" во всех частях ИСО/МЭК ТО 15443.

2.9 среда (environment): Условия, в которых выполняются процессы жизненного цикла (то есть люди, оборудование и другие ресурсы), и связанные с этими условиями характеристики доверия (например, репутация, сертификация).

Примечание - В настоящем стандарте "доверие к среде" означает то же, что "доверие к продукту" и "доверие к процессу".

2.10 система менеджмента информационной безопасности (information security management system; ISMS); СМИБ: Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

[ИСО/МЭК 27001:2005]

2.11 метод (method): Способ выполнения определенных действий в соответствии с планом получения воспроизводимых результатов систематическим и отслеживаемым образом.

2.12 показатель (metric): Количественная шкала и метод, которые могут применяться для измерений.

2.13 возможность процесса (process capability): Способность процесса к достижению требуемой цели.

2.14 продукт (product): Продукт, система, услуга безопасности информационных технологий.

Примечания

1 В ИСО/МЭК ТО 15443 и аналогично применению в ИСО 9000 во всех частях ИСО/МЭК ТО 15443 будет применяться термин "продукт" вместо термина "объект".

2 Термин "продукт" является синонимом термина "объект".

2.15 остаточный риск (residual risk): Риск, остающийся после обработки риска.

2.16 оценка риска (risk assessment): Общий процесс анализа и оценивания риска.

[определение 3.3.1, Руководство 73: 2002 ИСО/МЭК]

Примечания

1 Оценивание риска является процессом сравнения оцененного риска с заданными критериями риска для определения значимости риска.

2 В настоящем стандарте "оценка риска", "анализ риска" и "анализ риска угрозы" обобщенно называются "оценкой риска".

2.17 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.

2.18 безопасность (security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности.

2.19 цель безопасности (security objective): Изложенное намерение противостоять установленным угрозам и/или соответствовать установленной политике безопасности организации и предположениям.

[ИСО/МЭК 15408-1:2005, определение 2.42]

2.20 политика безопасности (security policy): Свод правил, являющийся внутренним сводом для подразделений организации и регламентирующий управление этими подразделениями защитой своих активов, с тем чтобы соответствовать заданным целям организации в рамках ее правового и культурного контекстов.

2.21 этап (stage): Период в рамках жизненного цикла объекта, включающего в себя процессы и виды деятельности.

Примечание - Заимствовано из ИСО/МЭК 15288.

     3 Сокращения