ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
8.6 Требования безопасности
8.6.1 Введение
Владелец системы должен подготовить набор требований безопасности для автоматизированной системы. Требования безопасности должны определить набор мер обеспечения безопасности, которые должны быть реализованы в автоматизированной системе (функциональные требования безопасности), и способы оценки того, что эти меры реализованы корректно и эффективно (требования доверия к безопасности).
8.6.2 Функциональные требования безопасности
Технические меры безопасности должны выбираться из функциональных классов, определенных в ИСО/МЭК 15408-2. Если в ИСО/МЭК 15408-2 нет подходящих функциональных компонентов, тогда в соответствии с процедурой, определенной в ИСО/МЭК 15408-1, в приложении B, должны быть самостоятельно разработаны и определены дополнительные компоненты.
Организационные меры безопасности должны выбираться из функциональных классов, в соответствии с приложением В. Если в приложении В нет подходящих функциональных компонентов, тогда в соответствии с процедурой, определенной в ИСО/МЭК 15408-1, в приложении B, должны быть самостоятельно разработаны и определены дополнительные компоненты.
Сравнение функциональных классов, определенных в стандартах серии ИСО/МЭК 15408 и настоящем стандарте, а также их применимость при оценке автоматизированных систем приведены в таблице 2.
Таблица 2 - Сравнение функциональных классов
Стандарты серии ИСО/МЭК 15408 | Автоматизированная система: ИСО/МЭК ТО 19791 | Применимость и область применения |
Аудит безопасности (FAU) | Аудит безопасности (FAU) | Применимо |
Связь (FCO) | Связь (FCO) | |
Криптография (FCS) | Криптография (FCS) | |
Защита данных пользователя (FDP) | Защита данных пользователя (FDP) | |
Идентификация и аутентификация (FIA) | Идентификация и аутентификация (FIA) | |
Управление безопасностью (FMT) | Управление безопасностью (FMT) | |
Приватность (FPR) | Приватность (FPR) | |
Защита ФБО (FPT) | Защита ФБО (FPT) | |
Доступ к ОО (FTA) | Доступ к ОО (FTA) | |
Доверенный маршрут/канал (FTP) | Доверенный маршрут/канал (FTP) | |
Аудит безопасности (FAU) | Аудит безопасности (FAU) | |
- | Организационные меры безопасности (FOD) | Политика, персонал, менеджмент рисков, менеджмент инцидентов, организация безопасности, соглашение об услугах |
- | Меры обеспечения безопасности систем ИТ (FOS) | Политика, конфигурация, сетевая безопасность, мониторинг, управление персоналом, активы автоматизированных систем, регистрация и запись |
- | Меры обеспечения безопасности активов пользователей (FOA) | Защита приватности данных, активы пользователей |
- | Меры обеспечения безопасности бизнес-процессов (FOB) | Политика, непрерывность |
- | Меры обеспечения безопасности аппаратуры и оборудования (FOP) | Мобильное оборудование, съемное оборудование, удаленное оборудование, система, аппаратура |
- | Меры обеспечения безопасности по отношению к третьей стороне (FOT) | Управление |
- | Управление (FOM) | Параметры безопасности, классификация активов, обязанности персонала, организация безопасности, отчеты о безопасности |
8.6.3 Требования доверия к безопасности
Требования доверия должны выбираться в соответствии с ИСО/МЭК 15408-3 и приложением С настоящего стандарта. Если в ИСО/МЭК 15408-3 и приложении С настоящего стандарта нет подходящих компонентов доверия, то в соответствии с процедурой, определенной в ИСО/МЭК 15408-1, приложение В, должны быть самостоятельно разработаны и определены дополнительные компоненты.
Сравнение классов доверия, определенных в стандартах серии ИСО/МЭК 15408 и настоящем стандарте, а также их применимость при оценке автоматизированных систем приведено в таблице 3.
Таблица 3 - Сравнение классов доверия
Стандарты серии ИСО/МЭК 15408 | Автоматизированная система: ИСО/МЭК ТО 19791 | Применимость |
АРЕ: оценка профиля защиты | Оценка профиля защиты для системы (ASP) | Зависит от отличий ПЗС |
ASE: оценка задания по безопасности | Оценка задания по безопасности для системы (ASS) | Зависит от отличий ЗБС |
АСМ: управление конфигурацией | Управление конфигурацией автоматизированных систем (АОС) | Композиционные требования для составных продуктов. Управление конфигурацией (изменение, отслеживание, сопровождение). Подтверждение и верификация (во время эксплуатации) |
ADO: поставка и эксплуатация | Безопасная установка системы (ASI) | Информирование и связь ФБС. Подтверждение и верификация (во время эксплуатации) |
ADV: разработка | Документация по проектированию архитектуры автоматизированных систем и конфигурационная | Интерфейсы и конфигурация компонентов. Внешние интерфейсы. Архитектура, информационные потоки, доступ к СОО. Режим эксплуатации/условия развития |
AGD: руководства | Руководства для автоматизированных систем (AOD) | Правила и процедуры для пользователя и администратора. Конфигурация. Подтверждение и верификация (во время эксплуатации) |
ALC: поддержка жизненного цикла | Поддержка жизненного цикла автоматизированных систем (AOL) | Аналогично мерам обеспечения безопасности для среды разработки/интеграции. Подтверждение и верификация (во время эксплуатации) |
АТЕ: тестирование | Тестирование автоматизированных систем (АОТ) | Функциональное тестирование, глубина тестирования и покрытие тестами ФБС. Независимое тестирование ФБС. Регрессивное тестирование на этапе поддержки (сопровождения)/модификации |
АVA: Оценка уязвимостей | - | Анализ уязвимостей автоматизированных систем (AOV) |
- | Регистрация и запись в автоматизированных системах (ASO) | Записи в журналы ФБС. Административный анализ ФБС. Независимая верификация ФБС. Подтверждение и верификация записей |