Точный
Статус документа
Статус документа

ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

Введение


На пленарном заседании ИСО/МЭК СТК 1/ПК 27 в ноябре 1994 года была создана исследовательская группа для рассмотрения вопросов тестирования методов обеспечения доверия и оценки соответствия продуктов и систем информационных технологий (ИТ) стандартам безопасности ПК 27 и других организаций (например, стандартам ПК 21 и Европейского института стандартов по телекоммуникациям, а также некоторым Интернет-стандартам, содержащим аспекты, связанные с безопасностью). Параллельно в начале 1996 года для проекта "Общие критерии" была создана рабочая группа, занимающаяся методами обеспечения доверия.  ISO/IEC TR 15443 является результатом деятельности этих двух групп.

Назначением  ISO/IEC TR 15443 является представление различных методов обеспечения доверия и содействие специалистам в области ИТ в выборе соответствующего метода обеспечения доверия (или комбинации методов) с целью получения уверенности в том, что оцениваемый объект удовлетворяет установленным требованиям доверия к безопасности ИТ. В ISO/IEC TR 15443 изучаются подходы и методы обеспечения доверия, предложенные организациями различного типа, независимо от того, включают ли в себя эти методы и подходы утвержденные стандарты или стандарты "де-факто".

ISO/IEC TR 15443 рассматривает:

a) структурную модель взаимосвязи существующих методов обеспечения доверия;

b) совокупность методов обеспечения доверия, их описание и ссылки на них;

c) представление общих и уникальных свойств, присущих методам обеспечения доверия;

d) качественное и (по возможности) количественное сравнение существующих методов обеспечения доверия;

e) идентификацию систем оценки доверия, связанных с методами обеспечения доверия;

f) описание взаимосвязей между различными методами обеспечения доверия;

g) руководство по созданию, применению и идентификации методов обеспечения доверия.

ISO/IEC TR 15443 состоит из трех частей:

- часть 1. Обзор и основы; представляет собой обзор фундаментальных концепций и общее описание методов обеспечения доверия. Данный материал способствует пониманию частей 2 и 3 ISO/IEC TR 5443. Часть 1 предназначена для руководителей в области безопасности, ответственных за разработку программы обеспечения доверия к безопасности, определение степени доверия к безопасности своих объектов, осуществление проверки оценки степени доверия (например, ИСО 9000, SSE-CMM (ИСО/МЭК 21827), ИСО/МЭК 15408-3) или других видов деятельности по обеспечению доверия;

- часть 2. Методы доверия; приводится описание различных методов обеспечения доверия и подходов, их связи со структурной моделью обеспечения доверия к безопасности из части 1. Акцент делается на идентификацию качественных характеристик методов обеспечения доверия. Данный документ способствует пониманию специалистом в области безопасности ИТ процедуры получения доверия на различных этапах жизненного цикла объекта;

- часть 3. Анализ методов доверия; приводится анализ обеспечения доверия относительно их различных характеристик. Анализ способствует принятию органом обеспечения доверия решения по относительной значимости каждого подхода к обеспечению доверия и выбору подхода(ов), который(е) обеспечит(ат) результаты, наиболее соответствующие требованиям этого органа. Анализ также способствует органу обеспечения доверия в использовании результатов доверия для получения требуемой уверенности в объекте. Данный документ предназначен для специалистов в области безопасности ИТ, которые должны осуществить выбор методов обеспечения доверия и подходов к ним.

В  ISO/IEC TR 15443 анализируются методы обеспечения доверия, которые могут предназначаться не только для безопасности ИТ; однако руководство, приведенное в  ISO/IEC TR 15443, ограничивается требованиями к безопасности ИТ. В  ISO/IEC TR 15443 включены дополнительные термины и понятия, регламентированные в других инициативах международной стандартизации (CASCO) и международных руководствах (например, в Руководстве 2 ИСО/МЭК), однако представленное в  ISO/IEC TR 15443 руководство предназначено только для области обеспечения безопасности ИТ и не предназначено для общего менеджмента и оценки качества или обеспечения соответствия ИТ требованиям безопасности.