ИСО и МЭК: Опубликована третья редакция стандарта ISO/IEC 18045:2022 «Методология оценки безопасности информационных технологий»

В августе 2022 года сайт Международной организации по стандартизации сообщил о публикации новой, третьей редакции стандарта ISO/IEC 18045:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий  - Методология оценки безопасности информационных технологий» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation) объёмом 438 страниц, см. https://www.iso.org/standard/72889.html и https://www.iso.org/obp/ui/#!iso:std:72889:en .

Документ подготовлен подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменил ранее действовавшую редакцию 2008 года.

В России предыдущая редакция стандарта была адаптирована как ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» объёмом 250 страниц, см. https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=176958

Во вводной части документа, в частности, отмечается:

«Настоящий стандарт описывает минимальные действия, выполняемых оценщиком при проведении оценки по стандартам серии ISO/IEC 15408 с использованием критериев и свидетельств оценки, определенных в стандартах серии ISO/IEC 15408.»

Мой комментарий: Речь здесь идёт о серии стандартов ISO/IEC 15408:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security), см. https://www.iso.org/standard/72891.html  

Содержание документа следующее:

Предисловие
Извещение о правообладателях
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Терминология
6. Использование модальных глаголов
7. Общее руководство по оценке
8. Взаимосвязь между серией стандартов ISO/IEC 15408 и структурами ISO/IEC 18045.
9. Процесс оценки и связанные с ним задачи
10. Класс APE: Оценка профиля защиты
11. Класс ACE: Оценка конфигурации профиля защиты
12. Класс ASE: Оценка задания по безопасности
13. Класс ADV: Разработка
14. Класс AGD: Руководства
15. Класс ALC: Поддержка жизненного цикла
16. Класс ATE: Тестирование
17. Класс AVA: Оценка уязвимостей
18. Класс ACO: Композиция
Приложение A: Общие указания по оценке
Приложение B: Оценка уязвимостей (AVA)
Приложение C: Методы и инструменты оценки

Источник: сайт ИСО
https://www.iso.org/standard/72889.html
https://www.iso.org/obp/ui/#!iso:std:72889:en