Статус документа
Статус документа

Руководящий документ. Безопасность информационных технологий. Руководство по разработке профилей защиты и зданий по безопасности

     6. Краткий обзор профилей защиты и заданий безопасности

В данной главе приводится краткий обзор и содержание ПЗ и ЗБ. Рассматриваются взаимосвязи между ПЗ и ЗБ и процесс их разработки (см. также Приложения Б и В части 1 ОК).

6.1 Профиль защиты

Требуемое содержание ПЗ приведено в Приложении Б части 1 ОК. Пример оглавления ПЗ представлен в таблице 1.

Таблица 1

Пример оглавления профиля защиты

1. Введение ПЗ

1.1. Идентификация ПЗ

1.2. Аннотация ПЗ

2. Описание ОО

3. Среда безопасности ОО

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. Цели безопасности

4.1. Цели безопасности для ОО

4.2. Цели безопасности для среды

5. Требования безопасности ИТ

5.1. Функциональные требования безопасности ОО

5.2. Требования доверия к безопасности ОО

5.3. Требования безопасности для ИТ-среды

6. Замечания по применению

7. Обоснование

7.1. Логическое обоснование целей безопасности

7.2. Логическое обоснование требований безопасности


В разделе "Введение ПЗ" идентифицируется ПЗ и дается его аннотация в форме, наиболее подходящей для включения в каталоги и реестры ПЗ. Данный раздел ПЗ более подробно рассматривается в главе 7 настоящего Руководства.

В раздел "Описание ОО" включается сопроводительная информация об ОО (или типе ОО), предназначенная для пояснения его назначения и требований безопасности.

В раздел ПЗ "Среда безопасности ОО" включается описание аспектов среды безопасности ОО, которые должны учитываться для объекта оценки, в частности - детальное описание предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), и политики безопасности организации (ПБОр), которой должен удовлетворять ОО. Этот раздел ПЗ более подробно рассмотрен в главе 8 настоящего Руководства.

В раздел ПЗ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами в пределах среды ОО. Данный раздел ПЗ более подробно рассмотрен в главе 9 настоящего руководства.

В раздел ПЗ "Требования безопасности ИТ" включаются функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где возможно, функциональных компонентов и компонентов доверия к безопасности из частей 2 и 3 ОК. Раздел ПЗ "Требования безопасности ИТ" более подробно рассмотрен в главе 10 настоящего Руководства.

В раздел ПЗ "Замечания по применению ПЗ" может включаться любая дополнительная информация, которую разработчик ПЗ считает полезной. Отметим, что замечания по применению могут быть распределены по соответствующим разделам ПЗ. Раздел ПЗ "Замечания по применению" более подробно рассмотрен в главе 7 настоящего руководства.

В разделе ПЗ "Обоснование" демонстрируется, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ и что соответствующий ОО учитывает идентифицированные аспекты среды безопасности. Раздел ПЗ "Обоснование" более подробно рассмотрен в главе 12 настоящего Руководства.

Существует также целый ряд необязательных разделов и подразделов, которые могут включаться в ПЗ. Возможны разные уровни детализации некоторых подразделов. Раздел "Обоснование" может быть оформлен в виде отдельного документа. Практически, дополнительные разделы могут быть необходимы для предоставления полезной информации, например:

а) раздел "Введение ПЗ" может включать подраздел, описывающий организацию ПЗ, а также содержать ссылки на другие ПЗ и другие документы;

б) раздел "Среда безопасности ОО" может включать отдельные подразделы для различных доменов в ИТ-среде для ОО;

в) раздел "Требования безопасности ИТ" может быть расширен за счет включения, где необходимо, требований безопасности для не-ИТ-среды.

В случае если подраздел не используется (например, политика безопасности организации, требования безопасности ИТ для среды ОО), необходимо включить в ПЗ соответствующее пояснение.

6.2 Задание по безопасности

Требуемое содержание ЗБ дано в Приложении В части 1 ОК. Пример оглавления ЗБ представлен в таблице 2.

В разделе "Введение ЗБ" идентифицируется ЗБ и ОО (включая номер версии) и дается аннотация ЗБ в форме, наиболее подходящей для включения в список оцененных (сертифицированных) продуктов ИТ. Раздел "Введение ЗБ" более подробно рассмотрен в главе 7 настоящего Руководства.

В раздел ЗБ "Описание ОО" включается сопроводительная информация об ОО, предназначенная для пояснения его назначения и требований безопасности. Раздел ЗБ "Описание ОО" должен также включать описание конфигурации, в которой ОО подлежит оценке. Раздел ЗБ "Описание ОО" более подробно рассмотрен в главе 7 настоящего Руководства.

В раздел ЗБ "Среда безопасности ОО" включается описание аспектов среды безопасности ОО, которые должны учитываться объектом оценки, в частности, предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), ПБОр, которой должен удовлетворять ОО. Раздел ЗБ "Среда безопасности ОО" более подробно рассмотрен в главе 8 настоящего Руководства.

Таблица 2

Пример оглавления задания по безопасности

1. Введение ЗБ

1.1. Идентификация ЗБ

1.2. Аннотация ЗБ

2. Описание ОО

3. Среда безопасности ОО

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. Цели безопасности

4.1. Цели безопасности для ОО

4.2. Цели безопасности для среды ОО

5. Требования безопасности ИТ

5.1. Функциональные требования безопасности ОО

5.2. Требования доверия к безопасности ОО

5.3. Требования безопасности для ИТ-среды

6. Краткая спецификация ОО

6.1. Функции безопасности ОО

6.2. Меры обеспечения доверия к безопасности

7. Утверждения о соответствии ПЗ

7.1. Ссылка на ПЗ

7.2. Уточнение ПЗ

7.3. Дополнение ПЗ

8. Обоснование

8.1. Логическое обоснование целей безопасности

8.2. Логическое обоснование требований безопасности

8.3. Логическое обоснование краткой спецификации ОО

8.4. Логическое обоснование утверждений о соответствии ПЗ


В раздел ЗБ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены ОО, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами в пределах среды ОО. Данный раздел ЗБ более подробно рассмотрен в главе 9 настоящего Руководства.

В раздел ЗБ "Требования безопасности ИТ" включаются функциональные требования безопасности ОО, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды ОО. Требования безопасности ИТ должны быть определены путем использования, где это возможно, функциональных компонентов и компонентов доверия к безопасности частей 2 и 3 ОК. Раздел ЗБ "Требования безопасности ИТ" более подробно рассмотрен в главе 10 настоящего Руководства.

В раздел "Краткая спецификация ОО" включается описание функций безопасности ИТ, реализуемых ОО и соответствующих специфицированным функциональным требованиям безопасности, а также любых мер доверия к безопасности, соответствующих специфицированным требованиям доверия к безопасности. Раздел ЗБ "Краткая спецификация ОО" более подробно рассмотрен в главе 11 настоящего Руководства.