РУКОВОДЯЩИЙ ДОКУМЕНТ
Безопасность информационных технологий. Руководство по регистрации профилей защиты
Гостехкомиссия России, 2003 год
Руководящий документ (далее документ) определяет процедуры, которые используются при формировании, ведении и использовании реестра профилей защиты и пакетов, предназначенных для задания требований безопасности изделий информационных технологий.
Документ предназначен для заказчиков, разработчиков и пользователей изделий информационных технологий, а также для участников систем сертификации изделий ИТ по требованиям безопасности информации.
В документе использованы ссылки на следующие нормативные документы.
ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. - Методы и средства обеспечения безопасности. - Критерии оценки безопасности информационных технологий. - Части 1, 2, 3.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель, Гостехкомиссия России, 2002.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 2: Функциональные требования безопасности, Гостехкомиссия России, 2002.
Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 3: Требования доверия к безопасности, Гостехкомиссия России, 2002.
ISO/IEC 15292-2001*, Information technology - Security techniques - Protection Profile registration procedures.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
В настоящем документе применены следующие термины с соответствующими определениями.
Задание по безопасности: Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного объекта оценки (ГОСТ Р ИСО/МЭК 15408).
Заключение об успешной оценке: Заключение, подтверждающее, что профиль защиты был успешно оценен согласно критериям, приведенным в разделе 4 части 3 РД "Критерии оценки безопасности информационных технологий".
Заявитель: Физическое или юридическое лицо, подающее заявку на включение ПЗ или пакета в реестр.
Объект оценки: Подлежащие оценке продукт ИТ или система ИТ (ГОСТ Р ИСО/МЭК 15408).
Орган регистрации: Орган, уполномоченный Гостехкомиссией России для регистрации профилей защиты и пакетов.
Пакет: Многократно используемая совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для достижения определенных целей безопасности (ГОСТ Р ИСО/МЭК 15408).
Профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя (ГОСТ Р ИСО/МЭК 15408).
Регистрационная метка: Метка, присваиваемая ПЗ или пакету при включении в реестр и уникально его идентифицирующая.
Регистрация: Процесс включения ПЗ или пакета в реестр.
Реестр: Совокупность записей (в электронном или электронном и бумажном виде), включающих в себя регистрационные метки, а также связанную с ними дополнительную информацию.
Сертификат ПЗ: Документ, удостоверяющий соответствие ПЗ критериям, приведенным в разделе 4 части 3 РД "Критерии оценки безопасности информационных технологий".
Элемент реестра: Информация из реестра, относящаяся к конкретному ПЗ или пакету.
ЗБ - задание по безопасности
ИТ - информационная технология
ОО - объект оценки
ОР - орган регистрации
ОУД - оценочный уровень доверия
ПД - пакет требований доверия
ПЗ - профиль защиты
РД - руководящий документ
ФП - функциональный пакет
5.1. Регистрационная метка
Каждый ПЗ или пакет, зарегистрированный в соответствии с настоящим документом, должен иметь регистрационную метку, присвоенную ОР, которая уникально идентифицирует ПЗ или пакет в реестре. Регистрационная метка состоит из следующих частей, разделенных дефисами:
- тип элемента реестра;
- год регистрации;
- регистрационный номер.
Установлены следующие три типа элемента реестра:
- "ПЗ - для профиля защиты;
- "ПД - для пакета требований доверия;