ДСТУ ISO/IEC TR 19791:2015 Информационные технологии. Методы безопасности. Оценка безопасности операционных систем (ISO/IEC TR 19791:2010, IDT)

Данный документ доступнен в тарифе «ВСЕ ВКЛЮЧЕНО»

У Вас есть вопросы по документу? Мы рады на них ответить!Перечень бесплатных документовОбнаружили ошибку в документе или на сайте? Пожалуйста, напишите нам об этом!Оставить заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології

МЕТОДИ ЗАХИСТУ
ОЦІНЮВАННЯ БЕЗПЕКИ
ОПЕРАЦІЙНИХ СИСТЕМ

(ISO/IEC TR 19791:2010, IDТ)
ДСТУ ISO/IEC TR 19791:2015

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2017

ПЕРЕДМОВА

1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України та Технічний комітет стандартизації «Інформаційні технології» України (ТК 20).

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Гладун, канд. техн. наук (науковий керівник); О. Забарський; О. Гловацький; Г. Мединська.

2 НАДАНО ЧИННОСТІ: наказ З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає міжнародному стандарту ISO/IEC TR 19791:2010 Information technology — Security techniques — Security assessment of operational systemsent (Інформаційні технології. Методи захисту безпеки. Оцінювання безпеки операційних систем)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еп)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Вступ до ISO/IEC TR 19791:2010

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Познаки та скорочення

5 Структура цього стандарту

6 Методологічний підхід

6.1 Природа операційних систем

6.2 Убезпечення операційної системи

6.3 Безпека життєвого циклу операційної системи

6.4 Зв’язок з Іншими системами

7 Поширення концепцій оцінювання ISO/IEC 15408 на операційні системи

7.1 Огляд

7.2 Загальна концепція

7.3 Забезпечення гарантії операційної системи

7.4 Комплексні операційні системи

7.5 Захищена зона

7.6 Види засобів керування системою безпеки

7.7 Функційність безпеки системи

7.8 Розрахунок часу оцінювання

7.9 Застосування оцінених продуктів

7.10 Вимоги щодо документації

7.11 Тестування

7.12 Керування конфігурацією

8 Зв’язок з існуючими стандартами безпеки

8.1 Огляд

8.2 Зв’язок з ISO/IEC 15408

8.3 Зв’язок з іншими стандартами

8.4 Зв’язок із загальним критерієм

9 Оцінювання операційних систем

9.1 Вступ

9.2 Роль і відповідальність процедури оцінювання

9.3 Оцінювання ризику і визначення неприйнятних ризиків

9.4 Визначення проблем безпеки

9.5 Об’єкти безпеки

9.6 Вимоги щодо безпеки

9.7 Системний об’єкт безпеки (SST)

9.8 Періодичне переоцінювання

Додаток А Профілі захисту операційної системи і цілі безпеки

А.1 Специфікація цілей безпеки системи

А.2 Специфікація захисту профілів системи

Додаток В Вимоги щодо функційного керування операційною системою

В.1 Вступ

В.2 Клас FOD: Адміністрування

В.З Клас FOS: Системи інформаційних технологій

В.4 Клас FOA: Ресурси користувачів

В.5 Клас FOB: Господарська діяльність

В.6 Клас FOP: Пристрої та обладнання

В.7 Клас FOT: Треті особи

B.8 Клас FOM: Керування

Додаток С Вимоги щодо забезпечення якості операційної системи

C.1 Вступ

С.2 Клас ASP: Оцінювання ступеня захищеності системи

С.З Клас ASS: Оцінювання системного об’єкта безпеки

С.4 Клас AOD: Методичні документи для операційної системи

С.5 Клас ASD: Документація з архітектури операційної системи, проектування та конфігурації

С.6 Клас АОС: Керування конфігурацією операційної системи

С.7 Клас АОТ: Тестування операційної системи

С.8 Клас AOV: Оцінювання вразливості операційної системи

С.9 Клас APR: Підготовлення до роботи в реальних умовах

C.10 Клас ASO: Записи операційної системи

Додаток D Методпологія оцінювання операційної системи

D.1 Технічний підхід

D.2 Категорія ASP: Оцінювання профілю системного захисту

D.З Категорія ASS: Оцінювання системного об’єкта безпеки

D.4 Клас AOD: Методичні документи для операційної системи

D.5 Категорія ASD: Документація з архітектури операційної системи, проектування та конфігурації

D.6 Категорія АОС: Керування конфігурацією операційної системи

D.7 Категорія АОТ: Тестування операційної системи

D.8 Клас AOV: Оцінювання вразливості операційної системи

D.9 Категорія APR: Підготовлення до живої операції

D.10 Категорія ASO: Запис на операційну систему

Бібліографія

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт повністю відповідає ISO/IEC TR 19791:2010 Information technology — Security techniques — Security evaluation (Інформаційні технології. Методи захисту. Оцінювання безпеки операційних систем).

За певних обставин ISO/IEC JTC 1 може запропонувати публікацію технічного звіту одного з таких типів:

— тип 1, коли необхідна підтримка не може бути отримана для публікації міжнародного стандарту, незважаючи на повторні зусилля;

— тип 2, коли тема перебуває усе ще в стані технічної розробки, але немає можливості безпосередньої угоди стосовно міжнародного стандарту;

— тип 3, коли об’єднаний технічний комітет зібрав дані іншого виду ніж ті, які потрібні для публікації звіту як міжнародного стандарту («сучасний рівень розвитку», наприклад).

Технічні звіти типів 1 і 2 підлягають перегляду протягом трьох років після їх публікації для того, щоб вирішити, чи можуть вони бути прийняті як міжнародні стандарти. Технічні звіти типу 3 необов'язково повинні бути переглянуті доти, доки дані, які вони забезпечують, як вважають, не є більше дійсними чи корисними. ISO/IEC TR 19791 є технічним звітом типу 2.

ISO/IEC TR 19791 підготовлено об’єднаним технічним комітетом ISO/IEC JTC 1 «Інформаційні технології», підкомітет SC 27, IT «Методи захисту».

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технологи».

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт» замінено на «цей стандарт»;

— структурні елементи цього стандарту— «Титульний аркуш», «Передмову», «Зміст», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографію» — оформлено згідно з вимогами національної стандартизації України;

— з «Передмови» та «Вступу» до ISO/IEC TR 19791:2010 до цього «Національного вступу» долучено те, що стосується безпосередньо цього стандарту;

— до стандарту долучено «Національне пояснення» та «Національну примітку», виділені в тексті рамкою.

Додатки А, В, С і D — обов’язкові і є невід’ємними частинами цього стандарту.

Копії міжнародних стандартів, на які є посилання у цьому стандарті, можна замовити в Національному фонді нормативних документів.

ВСТУП ДО ISO/IEC TR 19791:2010

Цей стандарт є документом, який підтримує розширення, подані в ISO/IEC 15408, та дозволяє проводити оцінювання безпеки операційних систем. ISO/IEC 15408 згідно з визначенням надає підтримку для визначення функційної безпеки інформаційній технології, яка існує в продуктах і системах. Проте цей стандарт не містить певних аспектів операційних систем, які повинні бути точно визначені для ефективного оцінювання такої системи.

Цей стандарт надає розширені критерії оцінювання і керування для оцінювання інформаційних технологій і операційних аспектів такої системи. У першу чергу, цей стандарт призначено для тих, хто бере участь у розробленні, інтеграції, впровадженні та керуванні безпекою операційних систем, а також для експертів, які бажають застосувати ISO/IEC 15408 у таких системах. Цей стандарт стосується органів оцінювання, відповідальних за узгодження й підтвердження дій експертів. Ініціатори оцінювання та інші особи, зацікавлені в убезпеченні інформаційної системи, стануть другорядною аудиторією для їх вихідної інформації.

Враховуючи складність цього проекту й необхідність додаткової роботи, мета була визначена як технічний звіт типу 2. У майбутньому, коли буде накопичений додатковий досвід у цій області, є сподівання, що стане можливим перетворити цей технічний звіт у міжнародний стандарт для підтримки оцінювання операційних систем. Доти, доки не буде виконана певна формалізація підходу, вважається малоймовірним, що будуть проведені численні такі оцінювання операційної системи у зв’язку з відсутністю конкретних вказівок. Цей стандарт призначено заповнити цю прогалину.

Існують основні проблеми, які стосуються визначення й застосування терміна система. ISO/IEC 15408, сфокусований на оцінюванні продукції, застосовує термін «система», який охоплює лише аспекти інформаційної технології (IT) системи. Термін операційна система відповідно до контексту цієї статті має на увазі поєднання персоналу, процедур і процесів, інтегрованих за допомогою функцій і механізмів на основі технічних засобів, що використовують для обґрунтування застосовного рівня залишкового ризику в певній операційній системі.

Ця редакція є останньою, доповнення відповідають третьому виданню ISO/IEC 15408.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ ОЦІНЮВАННЯ БЕЗПЕКИ ОПЕРАЦІЙНИХ СИСТЕМ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ БЕЗОПАСНОСТИ ОЦЕНКА БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES SECURITY ASSESSMENT OF OPERATIONAL SYSTEMSENT FUNCTION

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає настанови та критерії для оцінювання безпеки операційних систем.

Цей стандарт забезпечує розширення сфери застосування стандарту ISO/IEC 15408, беручи до уваги ряд критичних аспектів операційних систем, які не були розглянуті під час оцінювання в ISO/IEC 15408. Основні необхідні розширення стосуються питання оцінювання операційного середовища, яке оточує об’єкт оцінювання, а також розбивки операційних систем на захищені зони, які оцінюють за окремим порядком.

Цей стандарт установлює:

a) визначення і модель для операційних систем;

b) опис розширень концепції оцінювання ISO/IEC 15408, необхідних для оцінювання таких операційних систем;

c) методику і процеси проведення оцінювання безпеки операційних систем;

d) додаткові критерії оцінювання безпеки, які розглядають ті аспекти операційних систем, що не долучені в ISO/IEC 15408.

Цей стандарт дозволяє об’єднати засоби убезпечення, оцінені згідно з ISO/IEC 15408, в операційні системи й проводити оцінювання як єдиного цілого, використовуючи цей стандарт.

Цей стандарт обмежений оцінюванням безпеки операційних систем і не розглядає інші форми оцінювання. Стандарт також не визначає методи й засоби ідентифікації, оцінювання і прийняття операційних ризиків.

2 НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такі нормативні документи:

ISO/IEC 15408-1:2009 Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model

ISO/IEC 15408-2:2008* Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components

ISO/IEC 15408-3:2008 Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components

ISO/IEC 18045:2008* Information technology — Security techniques — Methodology for IT security evaluation.

* Копію міжнародного стандарту можна отримати в Національному фонді нормативних документів.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 15408-1:2009 Інформаційні технології. Методи захисту. Критерії оцінювання захисту інформаційних технологій. Частина 1. Вступ і загальна модель

ISO/IEC 15408-2:2008 Інформаційні технології. Методи захисту. Критерії оцінювання захисту інформаційних технологій. Частина 2. Функційні компоненти безпеки

ISO/IEC 15408-3:2008 Інформаційні технології. Методи захисту. Критерії оцінювання захисту інформаційних технологій. Частина 3. Компоненти убезпечення

ISO/IEC 18045:2008 Інформаційні технології. Методи захисту. Методологія оцінювання захисту інформаційних технологій.

Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».

Войти в Личный кабинет Подробнее о тарифах

БУДСТАНДАРТ Online