ДСТУ ISO/IEC TR 15446:2015 Інформаційні технології. Методи захисту. Настанова щодо продукування профілів захисту і цілей захисту (ISO/IEC TR 15446:2009, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
МЕТОДИ ЗАХИСТУ
НАСТАНОВА ЩОДО ПРОДУКУВАННЯ
ПРОФІЛІВ ЗАХИСТУ
ТА ЦІЛЕЙ ЗАХИСТУ
(ІSО/ІЕС ТR 15446:2009, IDТ)
ДСТУ ІSО/ІЕС ТR 15446:2015
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)
ПЕРЕДМОВА
1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України; Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20)
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Гречко, канд. фіз.-мат. наук, О. Войченко (науковий керівник)
2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01
3 Національний стандарт відповідає ISO/IEC TR 15446:2009 Information technology — Security techniques — Guide for the production of Protection Profiles and Security Targets (Інформаційні технології. Методи захисту. Настанова щодо створення профілів захисту та цілей захисту)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (en)
4 УВЕДЕНО ВПЕРШЕ
ЗМІСТ
Національний вступ
Вступ до ІSО/ІЕС ТR 15446:2009
1 Сфера застосування
2 Нормативні посилання
3 Терміни та визначення понять
4 Скорочення
5 Мета і структура цього стандарту
6 Огляд ПЗ і ЦЗ
6.1 Вступ
6.2 Користувачі
6.3 Використання ПЗ і ЦЗ
6.4 Процес розроблення ПЗ/ЦЗ
6.5 Читання та розуміння ПЗ і ЦЗ
7 Вказівки щодо введення ПЗ/ЦЗ
8 Визначення вимог щодо відповідності
9 Специфікація визначення проблеми безпеки
9.1 Вступ
9.2 Визначення неформальних вимог щодо безпеки
9.3 Як визначити і вказати загрози
9.4 Як визначити і встановити правила
9.5 Як визначити і встановити припущення
9.6 Завершення визначення проблеми безпеки
10 Точне визначення цілей безпеки
10.1 Вступ
10.2 Структурування загроз, правил і допущень
10.3 Визначення цілей операційного середовища
10.4 Ідентифікація цілей операційного середовища ІТ
10.5 Визначення цілей безпеки ОО
10.6 Розроблення обґрунтування цілей
11 Специфікація визначень розширеного компонента
12 Специфікація вимог щодо безпеки
12.1 Вступ
12.2 Парадигми безпеки в ІSО/ІЕС 15408
12.3 Як визначити функційні вимоги щодо безпеки в ПЗ або ЦЗ
12.4 Як специфікувати вимоги щодо гарантування безпеки в ПЗ або ЦЗ
13 Підсумкова специфікація ОО
14 Специфікація ПЗ/ЦЗ для складних ОО і компонентів ОО
14.1 Складні ОО
14.2 Компонент ОО
15 Особливі випадки
15.1 Профілі захисту і завдання безпеки низької гарантії
15.2 Відповідність до національних роз’яснень
15.3 Використання функційних пакетів та пакетів гарантії
16 Використання автоматизованих інструментів
Додаток А Приклад для визначення розширеного компонента
Бібліографія
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт є перекладом ISO/IEC TR 15446 Information technology — security techniques — guide for the production of protection profiles and security targets (далі — ISO/IEC TR 15446) (Інформаційні технології. Методи захисту. Настанова щодо створення профілів захисту та цілей захисту).
ISO/IEC TR 15446 підготовлено Технічним комітетом JTC 1, підкомітетом SC 27 з методів ІТ-безпеки.
Технічний комітет, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».
До стандарту внесено такі редакційні зміни:
— слова «цей документ» замінено на «цей стандарт»;
— структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» та «Бібліографію» — оформлено згідно з вимогами національної стандартизації України;
— з «Передмови» та «Вступу» до ISO/IEC TR 15446 до цього «Національного вступу» долучено те, що стосується безпосередньо цього стандарту;
— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою.
Цей стандарт розроблено на заміну ДСТУ ISO/IEC TR 15446:2004 «Інформаційні технології. Методи захисту. Настанова щодо створення профілів захисту та цілей захисту» (ISO/IEC TR 15446:2004, IDT), який було прийнято методом «підтвердження», оскільки неоднозначне тлумачення положень стандарту, викладених англійською мовою, спричинило непорозуміння користувачів, що зумовило прийняття цього стандарту методом «переклад».
ВСТУП до ISO/IEC TR 15446:2009
Цей стандарт є доповненням до ISO/IEC 15408 Інформаційні технології. Методи захисту. Критерії оцінки безпеки в інформаційних технологіях. ISO/IEC 15408 вводить поняття профілів захисту (ПЗ) та цілей захисту (ЦЗ). Профіль захисту — це незалежно реалізоване визначення потреб безпеки для певного типу IT-продукту, який потім може бути оцінено за ISO/IEC 15408, тоді як ціль захисту є визначенням потреб безпеки для конкретного ISO/IEC 15408 об’єкта оцінювання (ОО).
На відміну від попередніх видань, третє видання ISO/IEC 15408 передбачає всебічне пояснення стосовно ПЗ та ЦЗ, проте не надає повної інформації щодо створення ПЗ або ЦЗ та використання їх на практиці.
Цей стандарт призначений доповнити попереднє видання детальними настановами і відображає колективний досвід багатьох років оцінювання та розвитку захищених IT-продуктів провідних експертів з ISO/IEC 15408.
ДСТУ ISO/IEC TR 15446:2015
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ. НАСТАНОВА ЩОДО ПРОДУКУВАННЯ
ПРОФІЛІВ ЗАХИСТУ ТА ЦІЛЕЙ ЗАХИСТУ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ. РУКОВОДСТВО ПО СОЗДАНИЮ
ПРОФИЛЕЙ ЗАЩИТЫ И ЦЕЛЕЙ ЗАЩИТЫ
INFORMATION TECHNOLOGY
SECURITY TECHNIQUES. GUIDE FOR THE PRODUCTION
OF PROTECTION PROFILES AND SECURITY TARGETS
Чинний від 2017-01-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей національний стандарт надає настанови щодо створення профілів захисту (ПЗ) та цілей захисту (ЦЗ), спрямовані на досягнення сумісності з третім виданням ISO/IEC 15408. Його також застосовують до ПЗ і ЦЗ сумісного з Common Criteria (версія 3.1 [1]), технічно ідентичного стандарту, опублікованого Common Criteria Management Board, консорціумом урядових організацій, що беруть участь в оцінюванні та сертифікації ІТ-безпеки.
Цей національний стандарт не призначено для оцінювання за допомогою ISO/IEC 15408, цю інформацію викладено в частині 1 ISO/IEC 15408.
Цей національний стандарт не поширюється на специфікації за межами ПЗ і ЦЗ, такими як реєстрування ПЗ та оброблення захищеної інтелектуальної власності.
2 НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче нормативні документи обов’язкові для застосування в цьому стандарті. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань треба користуватися останніми виданнями нормативних документів (разом зі змінами).
ISO/IEC 15408-1-1):2008. Inormation technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model
ISO/IEC 15408-2:2008. Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components
ISO/IEC 15408-3:2008. Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components
ISO/IEC 18045:2008. Information technology — Security techniques — Methodology for IT security evaluation.
| НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC 15408-1-1):2008. Інформаційні технології. Техніка безпеки. Критерії розвитку для безпеки інформаційних технологій. Частина 1. Вступ та загальна модель ІSО/ІЕС 15408-2:2008. Інформаційні технології. Техніка безпеки. Критерії розвитку для безпеки інформаційних технологій. Частина 2. Функційні компоненти безпеки ІSО/ІЕС 15408-3:2008. Інформаційні технології. Техніка безпеки. Критерії розвитку для безпеки інформаційних технологій. Частина 3. Гарантійні компоненти безпеки ІSО/ІЕС 18045:2008. Інформаційні технології. Техніка безпеки. Критерії розвитку для безпеки інформаційних технологій. Частина 4. Методика для розвитку безпеки інформаційних технологій. |
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».