Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

Введение


Международный стандарт ИСО/МЭК 15408:2005 подготовлен Совместным техническим комитетом ИСО/МЭК СТК 1 "Информационные технологии", Подкомитет ПК 27 "Методы и средства обеспечения безопасности ИТ". Идентичный ИСО/МЭК 15408:2005 текст опубликован организациями-спонсорами проекта "Общие критерии" как "Общие критерии оценки безопасности информационных технологий", версия 2.3 (ОК, версия 2.3).

Второе издание ИСО/МЭК 15408:2005 отменяет и заменяет первое издание (ИСО/МЭК 15408:1999), которое подверглось технической переработке.

ИСО/МЭК 15408 под общим наименованием "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" состоит из следующих частей:

- часть 1. Введение и общая модель;

- часть 2. Функциональные требования безопасности;

- часть 3. Требования доверия к безопасности.

Если имеют в виду все три части стандарта, используют обозначение ИСО/МЭК 15408.

Функциональные компоненты безопасности, определенные в данной части ИСО/МЭК 15408, являются основой для выражения функциональных требований безопасности в профиле защиты (ПЗ) или задании по безопасности (ЗБ). Данные требования содержат описание желательного безопасного режима функционирования объекта оценки (ОО) или ИТ-среды ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Данные требования содержат свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ИТ (то есть при входе и выходе) или при реакции ИТ на запросы.

Функциональные компоненты безопасности выражают требования безопасности, направленные на противостояние угрозам в предполагаемой среде эксплуатации ОО и/или охватывающие любую идентифицированную политику безопасности организации и предположения.

Аудитория для данной части ИСО/МЭК 15408 включает в себя потребителей, разработчиков и оценщиков безопасных ИТ-систем и продуктов. Дополнительная информация о потенциальных пользователях ИСО/МЭК 15408 и использовании ИСО/МЭК 15408 группами, которые включают в себя потенциальных пользователей, представлена в ИСО/МЭК 15408-1, раздел 4. Эти группы могут использовать данную часть ИСО/МЭК 15408 следующим образом:

a) потребители используют данную часть ИСО/МЭК 15408, выбирая компоненты, чтобы сформулировать функциональные требования для удовлетворения целей безопасности, приведенных в ПЗ или ЗБ. Более подробная информация о взаимосвязях требований безопасности и целей безопасности приведена в ИСО/МЭК 15408-1, подраздел 5.3;

b) разработчики, несущие ответственность за выполнение существующих или предполагаемых требований безопасности потребителя при разработке ОО, найдут в данной части ИСО/МЭК 15408 стандартизированный подход к пониманию указанных требований. Они используют содержание данной части ИСО/МЭК 15408 как основу для дальнейшего определения функций и механизмов безопасности ОО, которые соответствовали бы этим требованиям;

c) оценщики используют функциональные требования, определенные в данной части ИСО/МЭК 15408, для подтверждения того, что функциональные требования ОО, приведенные в ПЗ или ЗБ, соответствуют целям безопасности ИТ, а также для учета зависимостей данных требований и показа удовлетворения этих зависимостей. Оценщикам также следует использовать данную часть ИСО/МЭК 15408 при определении того, соответствует ли конкретный ОО предъявленным требованиям.