ГОСТ Р ИСО МЭК 15408-1 2007 (1027762), страница 3
Текст из файла (страница 3)
В нем определены категории пользователей ГОСТ Р ИСО/МЭК 15408, контекст оценки ипринятый подход к представлению материала.4.1ВведениеИнформация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом,позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, будучи размещенной в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкционированной модификации.
При выполнении продуктами или системами ИТ своих функций следуетосуществлять надлежащее управление информацией для обеспечения ее защиты от опасностейтипа нежелательного или неоправданного распространения, изменения или потери. Термин«безопасность ИТ» используется для того, чтобы охватить предотвращение и уменьшение этих иподобных опасностей.Многие потребители ИТ из-за недостатка знаний, компетентности или ресурсов не будутуверены в безопасности применяемых продуктов и систем ИТ и, возможно, не захотят полагатьсяисключительно на заверения разработчиков. Чтобы повысить свою уверенность в мерах безопасности продукта или системы ИТ, потребители могут заказать проведение анализа безопасностиэтого продукта или системы (т.е.
оценку безопасности).ГОСТ Р ИСО/МЭК 15408 может использоваться для выбора приемлемых мер безопасностиИТ. В нем содержатся критерии оценки требований безопасности.4.1.1Пользователи ГОСТ Р ИСО/МЭК 15408В оценке характеристик безопасности продуктов и систем ИТ заинтересованы в основномпотребители, разработчики и оценщики. Критерии, представленные в настоящем документе,структурированы в интересах этих групп, потому что именно они рассматриваются как основныепользователи ГОСТ Р ИСО/МЭК 15408. В последующих пунктах объясняется, какую пользу могутпринести критерии каждой из этих групп.4.1.1.1 ПотребителиГОСТ Р ИСО/МЭК 15408 играет важную роль в методической поддержке выбора потребителями требований безопасности ИТ для выражения своих потребностей. ГОСТ Р ИСО/МЭК 15408написан, чтобы обеспечить посредством оценки удовлетворение запросов потребителей, поскольку это является основной целью и логическим обоснованием процесса оценки.Результаты оценки помогают потребителям решить, вполне ли оцениваемый продукт илисистема удовлетворяет их потребности в безопасности.
Эти потребности обычно определяютсякак следствие анализа рисков, а также направленности политики безопасности. Потребители могуттакже использовать результаты оценки для сравнения различных продуктов и систем. Иерархическое представление требований доверия способствует этому.ГОСТ Р ИСО/МЭК 15408 предоставляет потребителям, особенно входящим в группы и сообщества с едиными интересами, независимую от реализации структуру, называемую профилемзащиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объектеоценки.4.1.1.2 РазработчикиГОСТ Р ИСО/МЭК 15408 предназначен для поддержки разработчиков при подготовке к оценке своих продуктов или систем и содействии в ее проведении, а также при установлении требований безопасности, которым должны удовлетворять каждый их продукт или система.
Вполне возможно, что использование совместно с ГОСТ Р ИСО/МЭК 15408 методологии оценки, потенциально сопровождаемой соглашением о взаимном признании результатов оценки, позволит к тому жеиспользовать ГОСТ Р ИСО/МЭК 15408 для поддержки иных лиц, помимо разработчиков ОО, приподготовке этого ОО к оценке и содействии в ее проведении.8ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)Конструкции из ГОСТ Р ИСО/МЭК 15408 могут тогда использоваться для формирования утверждения о соответствии ОО установленным для него требованиям посредством подлежащихоценке специфицированных функций безопасности и мер доверия. Требования для каждого ООсодержатся в зависимой от реализации конструкции, называемой заданием по безопасности (ЗБ).Требования широкого круга потребителей могут быть представлены в одном или нескольких ПЗ.В ГОСТ Р ИСО/МЭК 15408 описаны функции безопасности, которые разработчик мог бывключить в ОО.
ГОСТ Р ИСО/МЭК 15408 можно использовать для определения обязанностей идействий по подготовке свидетельств, необходимых при проведении оценки ОО. Он также определяет содержание и представление таких свидетельств.4.1.1.3 ОценщикиВ ГОСТ Р ИСО/МЭК 15408 содержатся критерии, предназначенные для использованияоценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным кним требованиям безопасности. В ГОСТ Р ИСО/МЭК 15408 дается описание совокупности основных действий, выполняемых оценщиком, и функций безопасности, к которым относятся эти действия. В ГОСТ Р ИСО/МЭК 15408, однако, не определены процедуры, которых следует придерживаться при выполнении этих действий.4.1.1.4 ПрочиеХотя ГОСТ Р ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ для объектов оценки, он также может служить справочным материалом для всех, ктоинтересуется вопросами безопасности ИТ или несет ответственность за них.
Среди них можновыделить, например, следующие группы, представители которых смогут извлечь пользу из информации, приведенной в ГОСТ Р ИСО/МЭК 15408:a) лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;b) аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопасности системы;c) проектировщики систем безопасности, ответственные за спецификацию основного содержания безопасности систем и продуктов ИТ;d) аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;e) заявители, заказывающие оценку и обеспечивающие ее проведение;f) органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.4.2Контекст оценкиДля достижения большей сравнимости результатов оценок их следует проводить в рамкахполномочной системы оценки, которая устанавливает стандарты, контролирует качество оценок иопределяет нормы, которыми необходимо руководствоваться организациям, проводящим оценку,и самим оценщикам.В ГОСТ Р ИСО/МЭК 15408 не излагаются требования к правовой базе.
Однако согласованность правовой базы различных органов оценки является необходимым условием достижениявзаимного признания результатов оценок. На рисунке 1 показаны основные элементы формирования контекста для оценок.Использование общей методологии оценки позволяет достичь повторяемости и объективности результатов, но только этого недостаточно. Многие из критериев оценки требуют привлеченияэкспертных решений и базовых знаний, добиться согласованности которых бывает нелегко. Дляповышения согласованности выводов, полученных при оценке, ее конечные результаты могутбыть представлены на сертификацию. Процедура сертификации представляет собой независимуюинспекцию результатов оценки, которая завершается их утверждением или выдачей сертификата.Сведения о сертификатах обычно публикуются и являются общедоступными.
Отметим, что сер-9ГОСТ Р ИСО/МЭК 15408-1—…(проект, окончательная редакция)тификация является средством обеспечения большей согласованности в применении критериевбезопасности ИТ.Система оценки, методология и процедуры сертификации находятся в ведении органовоценки, управляющих системами оценки, и не входят в область действия ГОСТ Р ИСО/МЭК 15408.Критерииоценки (ОК)МетодологияоценкиСистемаоценкиОценкаОкончательныерезультатыоценкиУтверждениерезультатов/сертификацияПереченьсертификатов/реестрРисунок 1 – Контекст оценки4.3Структура ГОСТ Р ИСО/МЭК 15408ГОСТ Р ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже.
Термины, используемые при описании отдельных частей ГОСТ Р ИСО/МЭК 15408,приведены в разделе 5.a) Часть 1 "Введение и общая модель" является введением в ГОСТ Р ИСО/МЭК 15408. Вней определяются общие принципы и концепции оценки безопасности ИТ и приводится общая модель оценки. Представлены конструкции для выражения целей безопасности ИТ, выбора и определения требований безопасности ИТ и написания высокоуровневых спецификаций для продуктови систем. Кроме того, в этой части указано, в чем заключается полезность каждой из частей ГОСТР ИСО/МЭК 15408 применительно к каждой из основных групп пользователей ГОСТ Р ИСО/МЭК15408.b) Часть 2 "Функциональные требования безопасности" устанавливает совокупностьфункциональных компонентов как стандартный способ выражения функциональных требований кОО. Содержит каталог всех функциональных компонентов, семейств и классов.c) Часть 3 "Требования доверия к безопасности" устанавливает совокупность компонентов доверия как стандартный способ выражения требований доверия к ОО.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
