среда, 27 марта 2024 г.

Серия стандартов ISO/IEC 15408 «Критерии оценки безопасности информационных технологий», часть 1

Я давно собиралась рассказать о популярной серии международных стандартов ISO/IEC 15408:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий», которые публикуются Международной электротехнической комиссией (МЭК) и Международной организацией по стандартизации (ИСО) на основе не менее популярных «Общих критериев оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation, также Common Criteria, СС, см. https://www.commoncriteriaportal.org/cc/index.cfm ).

Действующая 4-я редакция стандарта была опубликована в 2022 году в 5 частях. Документы подготовлены подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».


Стандарт ISO/IEC 15408-1:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 1: Introduction and general model) объёмом 154 страницы, см. https://www.iso.org/standard/72891.html и https://www.iso.org/obp/ui/en/#!iso:std:72891:en

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-1_2022_ed.4_-_id.72891_Publication_PDF_(en).zip ).

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», см. https://protect.gost.ru/document.aspx?control=7&id=182696

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает общие понятия и принципы оценки безопасности ИТ, а также определяет (в различных частях стандарта) общую модель оценки, в целом предназначенную для использования в качестве основы при оценке характеристик безопасности ИТ-продуктов.

Данный документ даёт обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта; определяет термины и сокращения, используемые во всех частях стандарта; определяет ключевое понятие объекта оценки (Target of Evaluation, TOE); описывает контекст оценки и аудиторию, которой адресованы критерии оценки. В нём дано введение в основные понятия и концепции безопасности, необходимые для оценки ИТ-продуктов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная конфигурация требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография

Стандарт ISO/IEC 15408-2:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 2:  Функциональные компоненты безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 2: Security functional components) объёмом 292 страницы, см. https://www.iso.org/standard/72892.html и https://www.iso.org/obp/ui/en/#!iso:std:72892:en .

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-2_2022_ed.4_-_id.72892_Publication_PDF_(en).zip ).

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», см. https://protect.gost.ru/document.aspx?control=7&id=184842 .

Во вводной части стандарта отмечается:

«Настоящий документ определяет требуемую структуру и содержание функциональных компонентов безопасности для целей оценки безопасности. Он включает каталог функциональных компонентов, соответствующий общим для многих ИТ-продуктов требованиям безопасности.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография

(Окончание следует, см. http://rusrim.blogspot.com/2024/03/isoiec-15408-2.html )

Источник: сайт ИСО
https://www.iso.org/standard/72891.html
https://www.iso.org/obp/ui/en/#!iso:std:72891:en  
https://www.iso.org/standard/72892.html  
https://www.iso.org/obp/ui/en/#!iso:std:72892:en
https://www.iso.org/standard/72906.html  
https://www.iso.org/obp/ui/en/#!iso:std:72906:en
https://www.iso.org/standard/72913.html  
https://www.iso.org/obp/ui/en/#!iso:std:72913:en
https://www.iso.org/standard/72917.html   
https://www.iso.org/obp/ui/en/#!iso:std:72917:en

Комментариев нет:

Отправить комментарий