РУКОВОДЯЩИЙ ДОКУМЕНТ
Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности
Гостехкомиссия России, 2003 год
Настоящее Положение определяет порядок разработки, оценки, регистрации и публикации профилей защиты и заданий по безопасности для продуктов и систем информационных технологий, предназначенных для обработки информации, отнесенной к информации ограниченного доступа в соответствии с законодательством Российской Федерации.
Положение предназначено для использования организациями-заказчиками профилей защиты, разработчиками профилей защиты, продуктов и систем информационных технологий, организациями-пользователями продуктов и систем информационных технологий, а также органами по сертификации и испытательными лабораториями при выполнении ими работ по обязательной сертификации средств защиты информации в соответствии с федеральным законом "О техническом регулировании".
В настоящем руководящем документе использованы ссылки на следующие нормативные документы.
ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. - Методы и средства обеспечения безопасности. - Критерии оценки безопасности информационных технологий. - Части 1, 2, 3.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель, Гостехкомиссия России, 2002.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 2: Функциональные требования безопасности, Гостехкомиссия России, 2002.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 3: Требования доверия к безопасности, Гостехкомиссия России, 2002.
Руководящий документ - Безопасность информационных технологий - Руководство по разработке семейств профилей защиты, Гостехкомиссия России, 2003.
Безопасность информационных технологий - Руководство по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003.
Руководящий документ - Безопасность информационных технологий - Руководство по регистрации профилей защиты, Гостехкомиссия России, 2003.
В настоящем документе применены следующие термины с соответствующими определениями.
3.1 Активы (assets): Информация или ресурсы, подлежащие защите контрмерами изделия ИТ (ГОСТ Р ИСО/МЭК 15408).
3.2 Доверие (assurance): Основание для уверенности в том, что изделие ИТ отвечает своим целям безопасности (ГОСТ Р ИСО/МЭК 15408).
3.3 Задание по безопасности (security target): Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного изделия ИТ (ГОСТ Р ИСО/МЭК 15408).
3.4 Заявитель (sponsor): физическое или юридическое лицо, подающее заявку на оценку, сертификацию и регистрацию ПЗ.
3.5 Изделие ИТ (IT product): Обобщенный термин для продуктов и систем ИТ.
3.6 Орган регистрации (registration body): Орган, уполномоченный Гостехкомиссией России для регистрации профилей защиты и пакетов.
3.7 Оценка безопасности (security evaluation): Исследования (испытания), проводимые для проверки соответствия ПЗ, ЗБ или изделия ИТ установленным требованиям безопасности.
3.8 Политика безопасности организации (organizational security policies): Совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408).
3.9 Предположения (assumptions): Условия, которые должны быть обеспечены в среде, чтобы изделие ИТ могло рассматриваться как безопасное.
3.10 Продукт ИТ (IT product): Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ (ГОСТ Р ИСО/МЭК 15408).
3.11 Профиль защиты (protection profile): Независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя (ГОСТ Р ИСО/МЭК 15408).
3.12 Система ИТ (IT system): Специфическое воплощение изделия ИТ с конкретным назначением и условиями эксплуатации (ГОСТ Р ИСО/МЭК 15408).
3.13 Среда безопасности (security environment): Область среды, в пределах которой предусматривается обеспечение необходимых условий для поддержания требуемого режима безопасности изделия ИТ.
3.14 Угроза (threat): Совокупность условий и факторов, определяющих потенциальную или реально существующую опасность возникновения инцидента, который может привести к нанесению ущерба изделию ИТ или его собственнику.
3.15 Функция безопасности (security function): Функциональные возможности части или частей изделия ИТ, обеспечивающие выполнение подмножества взаимосвязанных требований безопасности (ГОСТ Р ИСО/МЭК 15408).
3.16 Цель безопасности (security objective): Сформулированное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям (ГОСТ Р ИСО/МЭК 15408).
РД - руководящий документ
ИТ - информационная технология
ПЗ - профиль защиты
ЗБ - задание по безопасности
Требования безопасности, предназначенные для типовых механизмов, продуктов и систем информационных технологий, должны оформляться в виде профилей защиты в соответствии с РД Гостехкомиссии России "Критерии оценки безопасности информационных технологий", 2002 г.
Профиль защиты - это нормативный документ, предназначенный для изложения проблемы безопасности определенной совокупности продуктов и систем ИТ и формулирования требований безопасности для решении данной проблемы. Структура и общие требования к содержанию ПЗ приведены в Приложении Б.
ПЗ не регламентирует, каким образом данные требования будут выполнены, обеспечивая, таким образом, независимое от реализации описание требований безопасности.
Профиль защиты разрабатывается для определения типового набора требований безопасности, которым должны удовлетворять один или более продуктов или которым должны удовлетворять системы ИТ, предназначенные для использования в определенных целях. Профиль защиты может применяться к определенному типу продуктов ИТ (например, операционным системам, системам управления базами данных, смарт-картам, межсетевым экранам и т.д.) или к совокупности продуктов, образующих систему ИТ (например, к инфраструктуре открытых ключей, виртуальным частным сетям).
Профили защиты используются как стандартизованные наборы требований с целью повышения обоснованности задания требований к безопасности изделий ИТ, оценки безопасности и возможности проведения сравнительного анализа уровня безопасности различных изделий ИТ.
Профили защиты подлежат оценке, сертификации и регистрации в соответствии с требованиями настоящего Положения.
Проекты ПЗ, предназначенных для регламентации обязательных требований к безопасности изделий ИТ, дополнительно проходят экспертизу в порядке, устанавливаемом Гостехкомиссией России. При экспертизе ПЗ оценивается полнота учета в ПЗ требований нормативных документов по защите соответствующих видов информации ограниченного доступа.
Задание по безопасности - это документ, содержащий требования безопасности для конкретного изделия ИТ, которые реализованы в нем для достижения установленных целей безопасности. Структура и общие требования к содержанию ЗБ приведены в Приложении В.
Требования безопасности, включаемые в ЗБ, могут быть определены ссылками на профили защиты, на отдельные стандартизованные требования, а также могут содержать требования в явном виде. Помимо требований безопасности, в ЗБ включается краткая спецификация изделия ИТ и необходимые обоснования и пояснения.
Одной из целей разработки ЗБ является демонстрация того, как изделие ИТ удовлетворяет потребностям безопасности, сформулированным в ПЗ. Тем не менее, соответствие задания по безопасности профилю защиты не является обязательным. В ЗБ могут быть определены функции безопасности, заявляемые разработчиком продукта ИТ вне зависимости от того, имеется ли на данный момент ПЗ на соответствующий тип изделий ИТ.
Если соответствующий профиль защиты с обязательными требованиями отсутствует, заказчики (разработчики) изделий информационных технологий могут направить запрос в Гостехкомиссию России на экспертизу заданий по безопасности с тем, чтобы определить, имеет ли изделие ИТ необходимые функциональные возможности и соответствует ли оценочный уровень доверия той области, в которой предполагается использовать изделие ИТ.