ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 2
Текст из файла (страница 2)
Известно, однако, что безопасность ОО в значительной степени может быть достигнута административными мерами, такими как организационные меры, меры управления персоналом, меры управления физической защитой и процедурные меры. Административные меры безопасности в средеэксплуатации ОО рассматриваются в качестве предположений о безопасном использовании там,где они влияют на способность мер безопасности ИТ противостоять установленным угрозам.b) Оценка специальных физических аспектов безопасности ИТ, таких как контроль электромагнитного излучения, прямо не затрагивается, хотя многие концепции ГОСТ Р ИСО/МЭК 15408применимы и в этой области. В частности, рассмотрены некоторые аспекты физической защитыОО.c) В ГОСТ Р ИСО/МЭК 15408 не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки.
Тем неменее, ожидается, что ГОСТ Р ИСО/МЭК 15408 будет использоваться для целей оценки в контексте такой структуры и такой методологии.d) Процедуры использования результатов оценки при аттестации продуктов и систем ИТ находятся вне области действия ГОСТ Р ИСО/МЭК 15408. Аттестация продукта или системы ИТявляется административным процессом, посредством которого предоставляются полномочия наих использование в конкретной среде эксплуатации. Оценка концентрируется на тех аспектахбезопасности продукта или системы ИТ и на тех аспектах среды эксплуатации, которые могутнепосредственно влиять на безопасное использование элементов ИТ.
Результаты процессаоценки являются, следовательно, важными исходными материалами для процесса аттестации.Однако, поскольку для оценки не связанных с ИТ характеристик безопасности продукта илисистемы, а также их соотнесения с аспектами безопасности ИТ более приемлемы другие способы,аттестующим следует предусмотреть для этих аспектов особый подход.e) Критерии для оценки специфических качеств криптографических алгоритмов не входят вГОСТ Р ИСО/МЭК 15408.
Если требуется независимая оценка математических свойствкриптографии, встроенной в ОО, то в системе оценки, в рамках которой применяется ГОСТ РИСО/МЭК 15408, должно быть предусмотрено проведение таких оценок.Данная часть ГОСТ Р ИСО/МЭК 15408 определяет две формы представления функциональных требований и требований доверия к безопасности ИТ. Конструкция «профиль защиты» (ПЗ)предусматривает создание обобщенного, предназначенного для многократного использования набора этих требований безопасности. ПЗ может быть использован предполагаемыми потребите-1ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)лями для спецификации и идентификации продуктов с характеристиками безопасности ИТ, которые будут удовлетворять их потребностям.
Задание по безопасности (ЗБ) выражает требованиябезопасности и специфицирует функции безопасности для конкретного продукта или системы,подлежащих оценке и называемых объектом оценки (ОО). ЗБ используется оценщиками в качестве основы для оценки, проводимой в соответствии с ГОСТ Р ИСО/МЭК 15408.2ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями.П р и м е ч а н и е: Раздел 2 содержит только те термины, которые используются во всемтексте ГОСТ Р ИСО/МЭК 15408 особым образом.
Большинство терминов в ГОСТ Р ИСО/МЭК15408 применяется согласно словарным или общепринятым определениям, которые включены вглоссарии по безопасности ИСО или в другие широко известные сборники терминов по безопасности. Некоторые комбинации общих терминов, используемые в ГОСТ Р ИСО/МЭК 15408 и не вошедшие в данный раздел 2, объясняются непосредственно в тексте по месту использования. Объяснение терминов и понятий, применяемых особым образом в ГОСТ ИСО/МЭК 15408-2 и ГОСТИСО/МЭК 15408-3, можно найти в их соответствующих разделах "Парадигма".2.1 активы (assets): Информация или ресурсы, подлежащие защите контрмерами ОО.2.2 назначение (assignment): Спецификация определенного параметра в компоненте.2.3 доверие (assurance): Основание для уверенности в том, что сущность отвечает своим целямбезопасности.2.4 потенциал нападения (attack potential): Прогнозируемый потенциал для успешного (в случаереализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя.2.5 усиление (augmentation): Добавление одного или нескольких компонентов доверия из ГОСТР ИСО/МЭК 15408-3 в ОУД или пакет требований доверия.2.6 аутентификационные данные (authentication data): Информация, используемая для верификации предъявленного идентификатора пользователя.2.7 уполномоченный пользователь (authorised user): Пользователь, которому в соответствии сПБО разрешено выполнять некоторую операцию.2.8 класс (class): Группа семейств, объединенных общим назначением.2.9 компонент (component): Наименьшая выбираемая совокупность элементов, которая можетбыть включена в ПЗ, ЗБ или пакет.2.10 связность (connectivity): Свойство ОО, позволяющее ему взаимодействовать с сущностямиИТ, внешними по отношению к ОО.
Это взаимодействие включает обмен данными по проводнымили беспроводным средствам на любом расстоянии, в любой среде или при любой конфигурации.2.11 зависимость (dependency): Соотношение между требованиями, при котором требование,от которого зависят другие требования, должно быть, как правило, удовлетворено, чтобы и другие требования могли отвечать своим целям.2.12 элемент (element): Неделимое требование безопасности.2.13 оценка (evaluation): Оценка ПЗ, ЗБ или ОО по определенным критериям.2.14 оценочный уровень доверия (evaluation assurance level): Пакет компонентов доверия изГОСТ Р ИСО/МЭК 15408-3, представляющий некоторое положение на предопределенной вГОСТ Р ИСО/МЭК 15408 шкале доверия.2.15 орган оценки (evaluation authority): Организация, которая посредством системы оценки обеспечивает реализацию ГОСТ Р ИСО/МЭК 15408 для определенного сообщества и в связи с этимустанавливает стандарты и контролирует качество оценок, проводимых организациями в пределахданного сообщества.2.16 система оценки (evaluation scheme): Административно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют ГОСТ Р ИСО/МЭК 15408.2.17 расширение (extension): Добавление в ЗБ или ПЗ функциональных требований, не содержащихся в ГОСТ Р ИСО/МЭК 15408-2, и/или требований доверия, не содержащихся в ГОСТ РИСО/МЭК 15408-3.3ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2.18 внешняя сущность ИТ (external IT entity): Любые продукт или система ИТ, доверенные илинет, находящиеся вне ОО и взаимодействующие с ним.2.19 семейство (family): Группа компонентов, которые направлены на достижение одних и техже целей безопасности, но могут отличаться акцентами или строгостью.2.20 формальный (formal): Выраженный на языке с ограниченным синтаксисом и определеннойсемантикой, основанной на установившихся математических понятиях.2.21 документация руководств (guidance documentation): Документация руководств описываетпоставку, установку, конфигурирование, эксплуатацию, управление и использование ОО в тойчасти, в которой эти виды деятельности имеют отношение к пользователям, администраторам иинтеграторам ОО.
Требования к области применения и содержанию документированных руководств определяются в ПЗ и ЗБ.2.22 человек-пользователь (human user): Любое лицо, взаимодействующее с ОО.2.23 идентификатор (identity): Представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либополное или сокращенное имя этого пользователя, либо его псевдоним.2.24 неформальный (informal): Выраженный на естественном языке.2.25 внутренний канал связи (internal communication channel): Канал связи между разделенными частями ОО.2.26 передача в пределах ОО (internal TOE transfer): Передача данных между разделеннымичастями ОО.2.27 передача между ФБО (inter-TSF transfers): Передача данных между ФБО и функциямибезопасности других доверенных продуктов ИТ.2.28 итерация (iteration): Более чем однократное использование компонента при различном выполнении операций.2.29 объект (object): Сущность в пределах ОДФ, которая содержит или получает информацию инад которой субъекты выполняют операции.2.30 политика безопасности организации (organisational security policies): Одно или несколькоправил, процедур, практических приемов или руководящих принципов в области безопасности,которыми руководствуется организация в своей деятельности.2.31 пакет (package): Предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для удовлетворения совокупности определенных целей безопасности.2.32 продукт (product): Совокупность программных, программно-аппаратных и/или аппаратныхсредств ИТ, предоставляющая определенные функциональные возможности и предназначеннаядля непосредственного использования или включения в различные системы.2.33 профиль защиты (protection profile): Независимая от реализации совокупность требованийбезопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя.2.34 монитор обращений (reference monitor): Концепция абстрактной машины, осуществляющей политики управления доступом ОО.2.35 механизм проверки правомочности обращений (reference validation mechanism): Реализация концепции монитора обращений, обладающая следующими свойствами: защищенностьюот проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования.2.36 уточнение (refinement): Добавление деталей в компонент.2.37 роль (role): Заранее определенная совокупность правил, устанавливающих допустимоевзаимодействие между пользователем и ОО.2.38 секрет (secret): Информация, которая должна быть известна только уполномоченным пользователям и/или ФБО для осуществления определенной ПФБ.4ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2.39 атрибут безопасности (security attribute): Характеристики субъектов, пользователей объектов, информации и/или ресурсов, которые используются для осуществления ПБО.2.40 функция безопасности (security function): Функциональные возможности части или частейОО, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО.2.41 политика функции безопасности (security function policy): Политика безопасности, осуществляемая ФБ.2.42 цель безопасности (security objective): Изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям.2.43 задание по безопасности (security target): Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО.2.44 выбор (selection): Выделение одного или нескольких элементов из перечня в компоненте.2.45 полуформальный (semiformal): Выраженный на языке с ограниченным синтаксисом и определенной семантикой.2.46 базовая СФБ (SOF-basic): Уровень стойкости функции безопасности ОО, на котором, какпоказывает анализ, функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом нападения.2.47 высокая СФБ (SOF-high): Уровень стойкости функции безопасности ОО, на котором, какпоказывает анализ, функция предоставляет адекватную защиту от тщательно спланированногои организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения.2.48 средняя СФБ (SOF-medium): Уровень стойкости функции безопасности ОО, на котором, какпоказывает анализ, функция предоставляет адекватную защиту от прямого или умышленногонарушения безопасности ОО нарушителями с умеренным потенциалом нападения.2.49 стойкость функции безопасности (strength of function): Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушенияее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмыбезопасности.2.50 субъект (subject): Сущность в пределах ОДФ, которая инициирует выполнение операций.2.51 система (system): Специфическое воплощение ИТ с конкретным назначением и условиямиэксплуатации.2.52 объект оценки (target of evaluation): Продукт или система ИТ и связанная с ними документация руководств, являющиеся предметом оценки.2.53 ресурс ОО (TOE resource): Все, что может использоваться или потребляться в ОО.2.54 функции безопасности ОО (TOE security functions): Совокупность всех функций безопасности ОО, направленных на осуществление ПБО.2.55 интерфейс функций безопасности ОО (TOE security functions interface): Совокупность интерфейсов как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам ООпри посредничестве ФБО или получение от ФБО какой-либо информации.2.56 политика безопасности ОО (TOE security policy): Совокупность правил, регулирующихуправление активами, их защиту и распределение в пределах ОО.2.57 модель политики безопасности ОО (TOE security policy model): Структурированное представление политики безопасности, которая должна быть осуществлена ОО.2.58 передача за пределы области действия ФБО (transfers outside TSF control): Передачаданных сущностям, не контролируемым ФБО.2.59 доверенный канал (trusted channel): Средство взаимодействия между ФБО и удаленнымдоверенным продуктом ИТ, обеспечивающее необходимую степень уверенности в поддержанииПБО.5ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)2.60 доверенный маршрут (trusted path): Средство взаимодействия между пользователем иФБО, обеспечивающее необходимую степень уверенности в поддержании ПБО.2.61 данные ФБО (TSF data): Данные, созданные ФБО или для ФБО, которые могут повлиять навыполнение ФБО.2.62 область действия ФБО (TSF scope of control): Совокупность возможных взаимодействий сОО или в его пределах, которые подчинены правилам ПБО.2.63 пользователь (user): Любая сущность (человек-пользователь или внешняя сущность ИТ)вне ОО, которая взаимодействует с ОО.2.64 данные пользователя (user data): Данные, созданные пользователем и для пользователя,которые не влияют на выполнение ФБО.6ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)3 Обозначения и сокращенияСледующие сокращения являются общими для всех частей ГОСТ Р ИСО/МЭК 15408.ЗБ (ST)Задание по безопасностиИТ (IT)Информационная технологияИФБО (TSFI)Интерфейс ФБООДФ (TSC)Область действия ФБООО (TOE)Объект оценкиОУД (EAL)Оценочный уровень доверияПБО (TSP)Политика безопасности ООПЗ (PP)Профиль защитыПФБ (SFP)Политика функции безопасностиСФБ (SOF)Стойкость функции безопасностиФБ (SF)Функция безопасностиФБО (TSF)Функции безопасности ОО7ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)4 Краткий обзорВ этом разделе представлены основные концептуальные положения ГОСТ Р ИСО/МЭК15408.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
