ГОСТ Р 54581-2011
/ISO/IEC/TR 15443-1:2005

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы доверия к безопасности ИТ

Часть 1

Обзор и основы

Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework

ОКС 35.040

Дата введения 2012-07-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации "Защита информации" ТК 362

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 689-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TR 15443-1:2005* "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ Часть 1. Обзор и основы" (ISO/IEC TR 15443-1:2005 "Information technology - Security techniques - A framework for IT security assurance - Part 1: Overview and framework", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

На пленарном заседании ИСО/МЭК СТК 1/ПК 27 в ноябре 1994 года была создана исследовательская группа для рассмотрения вопросов тестирования методов обеспечения доверия и оценки соответствия продуктов и систем информационных технологий (ИТ) стандартам безопасности ПК 27 и других организаций (например, стандартам ПК 21 и Европейского института стандартов по телекоммуникациям, а также некоторым Интернет-стандартам, содержащим аспекты, связанные с безопасностью). Параллельно в начале 1996 года для проекта "Общие критерии" была создана рабочая группа, занимающаяся методами обеспечения доверия.  ISO/IEC TR 15443 является результатом деятельности этих двух групп.

Назначением  ISO/IEC TR 15443 является представление различных методов обеспечения доверия и содействие специалистам в области ИТ в выборе соответствующего метода обеспечения доверия (или комбинации методов) с целью получения уверенности в том, что оцениваемый объект удовлетворяет установленным требованиям доверия к безопасности ИТ. В ISO/IEC TR 15443 изучаются подходы и методы обеспечения доверия, предложенные организациями различного типа, независимо от того, включают ли в себя эти методы и подходы утвержденные стандарты или стандарты "де-факто".

ISO/IEC TR 15443 рассматривает:

a) структурную модель взаимосвязи существующих методов обеспечения доверия;

b) совокупность методов обеспечения доверия, их описание и ссылки на них;

c) представление общих и уникальных свойств, присущих методам обеспечения доверия;

d) качественное и (по возможности) количественное сравнение существующих методов обеспечения доверия;

e) идентификацию систем оценки доверия, связанных с методами обеспечения доверия;

f) описание взаимосвязей между различными методами обеспечения доверия;

g) руководство по созданию, применению и идентификации методов обеспечения доверия.

ISO/IEC TR 15443 состоит из трех частей:

- часть 1. Обзор и основы; представляет собой обзор фундаментальных концепций и общее описание методов обеспечения доверия. Данный материал способствует пониманию частей 2 и 3 ISO/IEC TR 5443. Часть 1 предназначена для руководителей в области безопасности, ответственных за разработку программы обеспечения доверия к безопасности, определение степени доверия к безопасности своих объектов, осуществление проверки оценки степени доверия (например, ИСО 9000, SSE-CMM (ИСО/МЭК 21827), ИСО/МЭК 15408-3) или других видов деятельности по обеспечению доверия;

- часть 2. Методы доверия; приводится описание различных методов обеспечения доверия и подходов, их связи со структурной моделью обеспечения доверия к безопасности из части 1. Акцент делается на идентификацию качественных характеристик методов обеспечения доверия. Данный документ способствует пониманию специалистом в области безопасности ИТ процедуры получения доверия на различных этапах жизненного цикла объекта;

- часть 3. Анализ методов доверия; приводится анализ обеспечения доверия относительно их различных характеристик. Анализ способствует принятию органом обеспечения доверия решения по относительной значимости каждого подхода к обеспечению доверия и выбору подхода(ов), который(е) обеспечит(ат) результаты, наиболее соответствующие требованиям этого органа. Анализ также способствует органу обеспечения доверия в использовании результатов доверия для получения требуемой уверенности в объекте. Данный документ предназначен для специалистов в области безопасности ИТ, которые должны осуществить выбор методов обеспечения доверия и подходов к ним.

В  ISO/IEC TR 15443 анализируются методы обеспечения доверия, которые могут предназначаться не только для безопасности ИТ; однако руководство, приведенное в  ISO/IEC TR 15443, ограничивается требованиями к безопасности ИТ. В  ISO/IEC TR 15443 включены дополнительные термины и понятия, регламентированные в других инициативах международной стандартизации (CASCO) и международных руководствах (например, в Руководстве 2 ИСО/МЭК), однако представленное в  ISO/IEC TR 15443 руководство предназначено только для области обеспечения безопасности ИТ и не предназначено для общего менеджмента и оценки качества или обеспечения соответствия ИТ требованиям безопасности.

     1 Область применения

1.1 Назначение

Настоящий стандарт предназначен для описания методов обеспечения доверия к безопасности, соотнесения их с базовой моделью жизненного цикла объекта и классификации методов обеспечения доверия для получения высокой степени уверенности в функциональных возможностях обеспечения безопасности объекта.

1.2 Подход

В настоящем стандарте представлен краткий обзор основных понятий обеспечения доверия и терминов, необходимых для понимания и применения методов обеспечения доверия, посредством идентификации различных подходов и стадий обеспечения доверия.

1.3 Применение

Классификация методов обеспечения доверия с учетом требований  ISO/IEC TR 15443 позволяет пользователю осуществлять выбор и возможное сочетание методов обеспечения доверия, которые целесообразно применить к конкретному объекту.

1.4 Сфера применения

Настоящий стандарт содержит руководство по классификации методов обеспечения доверия, включая методы, неспецифичные для обеспечения безопасности ИТ. Настоящее руководство может применяться даже в областях, не связанных с безопасностью ИТ, но критичных к обеспечению доверия.

1.5 Ограничения

Требования настоящего стандарта применяют только к объектам, указанным в 4.3 и связанным с ними организационным вопросам обеспечения безопасности.

     2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

Примечание - Термины и определения представлены в общем виде для поддержки общей модели доверия, представленной в настоящем стандарте, в целях обеспечения ее применимости к широкому ряду подходов обеспечения доверия.

В  ISO/IEC TR 15443 применены термины и определения, обеспечивающие нейтральность структуры обеспечения доверия и ее применимость для широкого ряда методов обеспечения доверия. Для этого применялись термины из международных стандартов, в частности для поддержки совместимости настоящего стандарта с частями 1-3 ИСО/МЭК 15408 и серией стандартов ИСО 9000.

При наличии нескольких определений для одного и того же термина вначале представлено основное определение, соответствующее целям  ISO/IEC TR 15443. Альтернативные определения, выделенные курсивом, считают применимыми только в контексте их источника.

2.1 аттестация (accreditation): Процедура, посредством которой официальный орган формально признает, утверждает и принимает остаточный риск:

a) для эксплуатации автоматизированной системы в определенном безопасном режиме с использованием заданного набора мер безопасности

[адаптировано из AGCA];

b) того, что орган или лицо, обеспечивающее безопасность, достаточно компетентны для выполнения конкретных задач

[адаптировано из Руководства 2 ИСО/МЭК] и

c) того, что услуга по обеспечению безопасности соответствует предопределенной среде применения.

2.2 подход (approach): Метод или определенные действия (процедуры), используемые или предпринимаемые для выполнения задания или решения задачи.

2.3 оценка (assessment): Верификация оцениваемого объекта доверия с помощью соответствующего подхода с целью установления соответствия стандарту и определения степени (уровня) доверия.

2.4 доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.

а) основание для уверенности в том, что сущность отвечает своим целям безопасности.

[ИСО/МЭК 15408-1]

2.5 подход к обеспечению доверия (assurance approach): Группирование методов обеспечения доверия в соответствии с исследуемым аспектом.

2.6 аргумент доверия (assurance argument): Совокупность структурированных утверждений о доверии, поддерживаемых свидетельством и обоснованием, которые наглядно демонстрируют то, как были удовлетворены требования доверия.

2.7 оценка доверия (assurance assessment): Верификация и фиксирование всех видов и результатов обеспечения доверия, связанных с оцениваемым объектом (приобщенных к аргументу доверия).

2.8 орган обеспечения доверия (assurance authority): Лицо или организация, уполномоченные принимать решения (например, по выбору, спецификации, принятию, контролю за исполнением), связанные с обеспечением доверия к оцениваемому объекту, что однозначно приводит к формированию уверенности в безопасности данного объекта.

Примечание - В конкретных системах и организациях понятие "орган обеспечения доверия" может иметь другое значение, например, "орган оценки".

2.9 свидетельство обеспечения доверия (assurance evidence): Результаты анализа обеспечения доверия к объекту (включая итоговые отчеты или другие обоснования), поддерживающие утверждение о доверии.

2.10 уровень доверия (assurance level): Степень доверия, соответствующая специальной шкале, применяемой в методе обеспечения доверия.

Примечания

1 Уровень доверия не измеряется количественными показателями.

2 Степень доверия обычно определяется усилиями, затраченными на выполнение определенных действий.

2.11 метод обеспечения доверия (assurance method): Общепризнанная спецификация получения воспроизводимых результатов обеспечения доверия.

2.12 характеристика обеспечения доверия (assurance property): Параметр метода обеспечения доверия, способствующий получению результатов доверия.

2.13 результат обеспечения доверия (assurance result): Документированное числовое или количественное утверждение об обеспечении доверия, относящееся к какому-либо оцениваемому объекту.

2.14 система обеспечения доверия (assurance scheme): Организационно-правовая структура, в рамках которой метод обеспечения доверия применяется органом обеспечения доверия в пределах определенного сообщества или организации.

а) организационно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют требования ИСО/МЭК 15408.

[ИСО/МЭК 15408-1]

2.15 стадия обеспечения доверия (assurance stage): Стадия жизненного цикла оцениваемого объекта, на которой используется заданный метод обеспечения доверия. При обеспечении общего доверия к оцениваемому объекту учитываются результаты реализации методов обеспечения доверия, применяемых на всех стадиях его жизненного цикла.

2.16 свидетельство доверия (assurance evidence): Документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчеты (обоснования) в поддержку утверждения о доверии.

2.17 сертификация (certification): Процедура выдачи официального подтверждения о соответствии оцениваемого объекта установленным требованиям. Сертификация может проводиться третьей стороной.

[адаптировано из Руководства 2 ИСО/МЭК]

a) выдача официального подтверждения результатов оценки и правильности применения критериев оценки.

[Стандарт ITSEC]

b) процесс сертификации является независимой проверкой результатов оценивания, приводящей к получению окончательного сертификата или утверждения.