ДСТУ ISO/IEC 18045:2015 Информационные технологии. Методы защиты. Методология оценки безопасности IT (ISO/IEC 18045:2008, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технологи
МЕТОДИ ЗАХИСТУ.
МЕТОДОЛОГІЯ ОЦІНЮВАННЯ
БЕЗПЕКИ IT
(ISO/IEC 18045:2008, IDТ)

ДСТУ ISO/IEC 18045:2015

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.org.ua)

ПЕРЕДМОВА

1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України і Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: К. Хала; А. Гладун, канд. техн. наук (науковий керівник)

2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ISO/IEC 18045:2008, Information technology — Security techniques — Methodology for IT security evaluation (Інформаційні технології. Методи захисту. Методологія оцінювання безпечності IT)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 ВВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 18045:2008

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Позначення та скорочення

5 Короткий огляд

5.1 Структура стандарту

6 Прийняті угоди

6.1 Термінологія

6.2 Застосування дієслів

6.3 Загальні вказівки щодо оцінювання

6.4 Взаємозв'язок між структурами ISO/IEC 15408 і ISO/IEC 18045

7 Загальні завдання оцінювання

7.1 Вступ

7.2 Огляд процесу оцінювання

7.3 Завдання отримання вихідних даних для оцінювання

7.4 Завдання підвиду діяльності

7.5 Завдання отримання результатів оцінювання

8 Клас АРЕ: оцінювання профілю захисту

8.1 Вступ

8.2 Зауваження до застосування

8.3 Вступ РР (APE_INT)

8.4 Вимоги відповідності (APE_CCL)

8.5 Визначення проблеми безпеки (APE_SPD)

8.6 Цілі безпеки (APE_OBJ)

8.7 Визначення розширених компонентів (APE_ECD)

8.8 Вимоги до безпеки (APE_REQ)

9 Клас ASE: оцінювання завдання з безпеки

9.1 Вступ

9.2 Зауваження до застосування

9.3 Вступ ST (ASE_INT)

9.4 Твердження про відповідність (ASE_CCL)

9.5 Визначення проблеми безпеки (ASE_SPD)

9.6 Цілі безпеки (ASE_OBJ)

9.7 Визначення розширених компонентів (ASE_ECD)

9.8 Вимоги безпеки IT (ASE_REQ)

9.9 Коротка специфікація TOE (ASE_TSS)

10 Клас ADV: розробка

10.1 Вступ

10.2 Зауваження до застосування

10.3 Архітектура безпеки (ADV_ARC)

10.4 Функціональна специфікація (ADV_FSP)

10.5 Подання реалізації (ADV_IMP)

10.6 Внутрішня структура TSF (ADV_INT)

10.7 Моделювання політики безпеки (ADV_SMP)

10.8 Проект TOE (ADV_TDS)

11 Knac AGD: настанова

11.1 Вступ

11.2 Зауваження до застосування

11.3 Посібник користувача по експлуатації (AGD_OPE)

11.4 Підготовчі процедури (AGD_PRE)

12 Клас ALC: підтримка життєвого циклу

12.1 Вступ

12.2 Можливості CM (ALC_CMC)

12.3 Область CM (ALC_CMS)

12.4 Постачання (ALC_DEL)

12.5 Безпека розроблення (ALC_DVS)

12.6 Усунення недоліків (ALC_FLR)

12.7 Визначення життєвого циклу (ALC_LCD)

12.8 Інструментальні засоби й методи (ALC_TAT)

13 Клас АТЕ: тестування

13.1 Вступ

13.2 Зауваження до застосування

13.4 Глибина (ATE_DPT)

13.5 Функціональне тестування (ATE_FUN)

13.6 Незалежне тестування (ATE_IND)

14 Клас AVA: оцінка вразливостей

14.1 Вступ

14.2 Аналізування вразливостей (AVA_VAN)

15 Клас АСО: композиція

15.1 Вступ

15.2 Зауваження до застосування

15.3 Обґрунтування композиції (ACO_COR)

15.4 Свідчення розроблення (ACO_DEV)

15.5 Залежності залежних компонентів (ACO_REL)

15.6 Тестування зіставного ТОЕ (АСО_СТТ)

15.7 Аналізування композиції вразливостей (ACO_VUL)

Додаток А

Додаток В

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 18045:2015 «Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ» прийнято методом «переклад» ідентичний щодо ISO/IEC 18045:2008 Information technology — Security techniques — Methodology for IT security evaluation (Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ) відповідно до положень національного стандарту ДСТУ 1.7:2015 «Національна стандартизація. Правила та методи прийняття міжнародних і регіональних нормативних документів» (ISO/IEC Guide 21-1:2005, NEQ; ISO/IEC Guide 21-2:2005, NEQ).

ISO/IEC 18045 підготовлено об'єднаним технічним комітетом ISO/IEC JTC 1 «Інформаційні технології», підкомітет SC 27, ІТ «Методи захисту».

Технічний комітет, відповідальний за цей національний стандарт, ТК 20 «Інформаційні технології».

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт» замінено на «цей стандарт»;

— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» та «Бібліографічні дані» оформлено згідно з вимогами національної стандартизації України;

— з «Передмови» та «Вступу» до ISO/IEC 18045:2008 у цей «Національний вступ» внесено те, що безпосередньо стосується цього стандарту.

Додатки А та Б носять довідковий характер.

ВСТУП ДО ISO/IEC 18045:2008

Потенційними користувачами цього міжнародного стандарту є насамперед оцінювачі, які застосовують ISO/IEC 15408, й органи із сертифікації, що підтверджують дії оцінювача; заявники оцінки, розробники, автори РР/ST є профілів захисту і завдань з безпеки та інші сторони, зацікавлені захистом ІТ.

Цей міжнародний стандарт визнає, що не на всі питання щодо оцінювання безпечності ІТ можна знайти в ньому відповіді й що подальші інтерпретації будуть необхідні. В конкретних системах оцінювання має бути вирішено, як використовувати такі інтерпретації, хоча вони й можуть підпорядковуватися угодам про взаємне визнання.

Перелік питань, пов'язаних з методологією, які може бути виявлено в конкретній системі оцінювання, наведено в додатку А.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
МЕТОДОЛОГІЯ ОЦІНЮВАННЯ БЕЗПЕКИ IT

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИТ

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
METHODOLOGY FOR IT SECURITY EVALUATION

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт застосовують спільно з ISO/IEC15408. Він описує мінімум дій, що має виконувати оцінювач у разі проведення оцінювання безпечності інформаційних технологій (IT) згідно з ISO/IEC 15408 з використанням критеріїв та свідчень оцінки, визначених в ISO/IEC 15408.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи містять положення, які через посилання у цьому тексті становлять положення цього стандарту. У разі недатованих посилань треба користуватися останніми виданнями нормативних документів (разом зі змінами).

ISO/IEC 15408-1:2009 Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model

ISO/IEC 15408-2:2008 Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components

ISO/IEC 15408-3:2005 Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 15408-1:2008 Інформаційні технології. Методи й засоби забезпечення безпеки. Критерії оцінювання безпеки IT. Частина 1. Вступ і загальна модель

ISO/IEC 15408-2:2008 Інформаційні технології. Методи й засоби забезпечення безпеки. Критерії оцінювання безпеки IT. Частина 2. Функціональні вимоги щодо безпеки

ISO/IEC 15408-3:2005 Інформаційні технології. Методи й засоби забезпечення безпеки. Критерії оцінювання безпеки IT. Частина 3. Вимоги до забезпечення захисту.