ГОСТ ISO/IEC 19896-1-2021
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий
Часть 1
Введение, основные понятия и общие требования
Information technology. Security techniques. Competence requirements for information security testers and evaluators. Part 1. Introduction, concepts and general requirements
МКС 35.030
Дата введения 2021-11-30
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Центр безопасности информации" и Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 | Код страны по МК (ИСО 3166) 004-97 | Сокращенное наименование национального органа по стандартизации |
Армения | AM | ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь | BY | Госстандарт Республики Беларусь |
Киргизия | KG | Кыргызстандарт |
Россия | RU | Росстандарт |
Узбекистан | UZ | Узстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 614-ст межгосударственный стандарт ГОСТ ISO/IEC 19896-1-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.
5 Настоящий стандарт идентичен международному стандарту ISO/IEC 19896-1:2018* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования" ("Information technology - Security techniques - Competence requirements for information security testers and evaluators - Part 1: Introduction, concepts and general requirements", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC 19896-1:2018 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА.
Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала
6 ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"
Введение
Целью серии стандартов ISO/IEC 19896 является предоставление фундаментальных основ, относящихся к уровню подготовки лиц, ответственных за выполнение оценки безопасности продуктов ИТ и тестирование соответствия. Серия ISO/IEC 19896 описывает основы и специализированные требования, которые определяют минимальную компетенцию лиц, выполняющих оценку безопасности продуктов ИТ и тестирование соответствия с использованием установленных стандартов.
_______________
ИТ - информационные технологии (примечание переводчика).
Для достижения этой цели серия стандартов ISO/IEC 19896 включает следующее:
a) термины и определения, относящиеся к тематике уровня компетенции специалистов по тестированию и оценке безопасности продуктов ИТ;
b) фундаментальные концепции, относящиеся к компетенции в оценке безопасности и тестировании соответствия продуктов ИТ;
c) минимальные требования к компетенции специалистов по оценке безопасности и тестированию продуктов ИТ для проведения тестирования/оценки продуктов ИТ.
Серия стандартов ISO/IEC 19896 представляет интерес:
a) для специалистов по оценке информационной безопасности (ИБ) и тестированию соответствия;
_______________
Далее по тексту используется сокращение ИБ.
b) органов подтверждения соответствия по оценке ИБ технологий и тестированию соответствия;
c) лабораторий, занимающихся оценкой ИБ и проверкой соответствия требованиям;
d) производителей или поставщиков технологий, чьи продукты ИТ могут быть предметом оценки обеспечения ИБ или тестирования соответствия;
e) организаций, предоставляющих профессиональные полномочия или признание в области компетенции.
Серия стандартов ISO/IEC 19896 разделена на части, предназначенные для специалистов по тестированию и оценке, как указано далее.
В настоящем стандарте представлены обзор определений, основных понятий и общее описание основ, используемых для представления требований к знаниям для определенных специализированных областей. Настоящий стандарт нацелен на предоставление фундаментальных знаний, необходимых для использования общих основ, представленных в других соответствующих частях серии ISO/IEC 19896.
ISO/IEC 19896-2 описывает минимальный набор требований к компетенции на каждом уровне подготовки для специалистов по тестированию соответствия, работающих с ISO/IEC 19790 и соответствующими стандартами.
ISO/IEC 19896-3 описывает минимальный набор требований к компетенции на каждом уровне подготовки для специалистов по оценке соответствия требованиям по ИБ, работающих с ISO/IEC 15408 (все части) и соответствующими стандартами.
1 Область применения
Настоящий стандарт определяет термины и устанавливает упорядоченный набор понятий и отношений для понимания требований к компетенции для специалистов по тестированию соответствия и оценке обеспечения ИБ, тем самым создавая основу для общего понимания концепций и принципов, лежащих в основе серии ISO/IEC 19896 для всех пользователей ее сообщества. Настоящий стандарт предоставляет основополагающую информацию для пользователей серии ISO/IEC 19896.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO/IEC 17000, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)
ISO/IEC 17025, General requirements for the competence of testing and calibration laboratories (Оценка соответствия. Общие требования к компетенции испытательных и калибровочных лабораторий)
3 Термины и определения
В настоящем стандарте применены термины по ISO/IEC 17000 и ISO/IEC 17025, а также следующие термины с соответствующими определениями:
ISO и IEC ведут терминологические базы данных для их использования в стандартизации по следующим адресам:
- платформа онлайн-просмотра ISO: доступна по адресу http://www.iso.org/obp;
- Электропедия IEC: доступна по адресу http://www.electropedia.org/;
- термины и определения ITU-T: http://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-database
3.1 компетенция (competence): Способность применять знания и навыки для достижения намеченных результатов.
[ISO/IEC 17024:2012, 3.6]
3.2 специалист по тестированию соответствия, тестировщик (conformance-tester, tester): Специалист, назначаемый для выполнения действий по тестированию в соответствии с применимым стандартом тестирования соответствия и соответствующей методологией испытаний.
Примечание - Примером такого стандарта является ISO/IEC 19790 и методология испытаний, приведенная в ISO/IEC 24759.
3.3 образование (education): Процесс получения или предоставления систематического обучения, преимущественно в школе или университете.
3.4 эффективность (effectiveness): Способность продуктивно применять знания и навыки, характеризующаяся такими признаками поведения, как предрасположенность, инициатива, энтузиазм, готовность, коммуникативные навыки, работа в команде и лидерство.
3.5 оценщик (evaluator): Лицо, назначенное для проведения оценки в соответствии с применимым стандартом оценки и соответствующей методологией оценки.
Примечание - Примером стандарта оценки является ISO/IEC 15408 (все части) с соответствующей методологией оценки, приведенной в ISO/IEC 18045.
3.6 опыт (experience): Участие на практическом уровне в проектах, относящихся к сфере компетенции.
3.7 знание (knowledge): Факты, сведения, информация, принципы или понимание, обретаемые с помощью опыта или образования.
Примечание - Примером знаний является способность описывать различные части стандарта по доверию к информации.
[ISO/IEC TS 17027:2014, 2.56, изменено - добавлено примечание 1]
3.8 лаборатория (laboratory): Организация с системой менеджмента, обеспечивающей проведение работ по оценке и/или тестированию в соответствии с определенным набором политик и процедур и использующая определенную методологию для тестирования или оценки функциональности безопасности продуктов ИТ.
Примечание - Этим организациям часто даются альтернативные названия различными регулирующими органами. Например, Центр оценки безопасности ИТ (IT Security Evaluation Facility, ITSEF), Лаборатория испытаний по общим критериям (Common Criteria Testing Laboratory, CCTL), Коммерческий центр оценки (Commercial Evaluation Facility, CLEF).
3.9 навык (skill): Способность выполнять задачу или работу с конкретным намеченным результатом, полученная в результате обучения, стажировки, опыта или другими методами.
Примечание - Примером навыков является способность идентифицировать и классифицировать риски, связанные с проектом.
[ISO/IEC 17027:2014, 2.74, изменено - добавлено примечание 1]
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно