ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

     4.1 Введение   

Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, размещенная в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не будет подвергнута несанкционированной модификации. При выполнении продуктами или системами ИТ своих функций следует осуществлять надлежащее управление информацией для обеспечения ее защиты от опасностей нежелательного или неоправданного распространения, изменения или потери. Термин "безопасность ИТ" используется для того, чтобы рассмотреть предотвращение и уменьшение этих и подобных опасностей.

Многие потребители ИТ из-за недостатка знаний, компетентности или ресурсов, не будучи уверены в безопасности применяемых продуктов и систем ИТ, возможно, не захотят полагаться исключительно на заверения разработчиков. Чтобы повысить свою уверенность в мерах безопасности продукта или системы ИТ, потребители могут заказать проведение анализа безопасности этого продукта или системы (то есть оценку безопасности).

ИСО/МЭК 15408 может использоваться для выбора приемлемых мер безопасности ИТ. В нем содержатся критерии оценки требований безопасности.

4.1.1 Пользователи ИСО/МЭК 15408

В оценке характеристик безопасности продуктов и систем ИТ заинтересованы в основном потребители, разработчики и оценщики. Критерии, изложенные в настоящем стандарте, структурированы в интересах этих групп, потому что именно они рассматриваются как основные группы пользователей ИСО/МЭК 15408. В последующих подпунктах объяснено, какую пользу могут принести критерии каждой из этих групп.

4.1.1.1 Потребители

ИСО/МЭК 15408 играет важную роль в методической поддержке выбора потребителями требований безопасности ИТ для выражения своих потребностей. ИСО/МЭК 15408 разработан, чтобы обеспечить посредством оценки удовлетворение запросов потребителей, поскольку это является основной целью и логическим обоснованием процесса оценки.

Результаты оценки помогают потребителям решить, удовлетворяет ли оцениваемый продукт или система их потребности в безопасности. Эти потребности обычно определяются как следствие анализа рисков, а также направленности политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных продуктов и систем. Этому способствует иерархическое представление требований доверия.

ИСО/МЭК 15408 предоставляет потребителям, особенно входящим в группы и сообщества с едиными интересами, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки.

4.1.1.2 Разработчики

ИСО/МЭК 15408 предназначен для поддержки разработчиков при подготовке к оценке своих продуктов или систем и ее проведении, а также при установлении требований безопасности, которым должны удовлетворять каждый их продукт или система. Использование совместно с ИСО/МЭК 15408 методологии оценки, потенциально сопровождаемой соглашением о взаимном признании результатов оценки, позволит использовать ИСО/МЭК 15408 для поддержки иных лиц, помимо разработчиков ОО, при подготовке этого ОО к оценке и содействовать ее проведению.

Конструкции из ИСО/МЭК 15408 могут использоваться для формирования утверждения о соответствии ОО установленным для него требованиям посредством подлежащих оценке специфицированных функций безопасности и мер доверия. Требования для конкретного ОО содержатся в зависимой от реализации конструкции, называемой заданием по безопасности (ЗБ). Требования широкого круга потребителей могут быть представлены в одном или нескольких ПЗ.

В ИСО/МЭК 15408 изложены функции безопасности, которые разработчик мог бы включить в ОО. ИСО/МЭК 15408 можно также применять для определения обязанностей и действий по подготовке свидетельств, необходимых при проведении оценки ОО. Он также определяет содержание и представление таких свидетельств.

4.1.1.3 Оценщики

ИСО/МЭК 15408 содержит критерии, предназначенные для использования оценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям безопасности. В ИСО/МЭК 15408 приведено описание совокупности основных действий, выполняемых оценщиком, и функций безопасности, к которым относятся эти действия. ИСО/МЭК 15408, однако, не определяет процедуры, которых следует придерживаться при выполнении данных действий.

4.1.1.4 Прочие

Хотя ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ для объектов оценки, он также может служить справочным материалом для тех, кто интересуется вопросами безопасности ИТ или несет ответственность за безопасность. Среди них можно выделить, например, следующие группы, представители которых смогут извлечь пользу из информации, содержащейся в ИСО/МЭК 15408:

a) лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;

b) аудиторы (внутренние и внешние), ответственные за оценку адекватности безопасности системы;

c) проектировщики систем безопасности, ответственные за спецификацию основного содержания безопасности систем и продуктов ИТ;

d) аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;

e) заявители, заказывающие оценку и обеспечивающие ее проведение;

f) органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.