Стандарт разработан и поддерживается подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».
Стандарт бесплатно доступен через магазин сайта ИСО, для использования которого нужно пройти регистрацию на этом сайте.
О работе над новой редакцией я уже рассказывала здесь: http://rusrim.blogspot.com/2024/10/isoiec-dis-15408.html . Новые документы 5-й редакции заменили документы 4-й редакции, опубликованные в 2022 году (о них см. мой пост http://rusrim.blogspot.com/2024/03/isoiec-15408-1.html ).
Стандарт ISO/IEC 15408:2026 состоит из следующих 5 частей:
В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», см. https://protect.gost.ru/gost/details/d8d02856-0bd5-43fd-a01e-aa99ea361702
Во вводной части стандарта отмечается:
«Настоящий документ устанавливает общие понятия и принципы оценки безопасности информационных технологий (ИТ). Он специфицирует общую модель оценки, представленную в данном документе, которая в целом предназначена для использования в качестве основы при оценке характеристик безопасности ИТ-продуктов.
Данный документ содержит обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта ISO/IEC 15408, а именно:
Данный документ содержит обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта ISO/IEC 15408, а именно:
- определяет термины и сокращения, используемые во всех частях стандарта; вводит ключевое понятие объекта оценки (Target of Evaluation, TOE);
- описывает контекст оценки; и
- описывает аудиторию, которой адресованы критерии оценки.
Кроме того, данный документ вводит основные понятия и концепции безопасности, необходимые для оценки ИТ-продуктов.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная структура требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная структура требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография
ISO/IEC 15408-2:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 2: Функциональные компоненты безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 2: Security functional components) объёмом 260 страниц, см. https://www.iso.org/standard/15408-2 и https://www.iso.org/obp/ui/en/#!iso:std:88135:en .
В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», см. https://protect.gost.ru/gost/details/202e8605-326e-4417-a979-abf7a2878a52
Во вводной части стандарта отмечается:
«Настоящий документ устанавливает требования к требуемой структуре и к контенту функциональных компонентов безопасности для использования в ходе оценки безопасности. Он включает каталог функциональных компонентов, соответствующий общим для многих ИТ-продуктов функциональным требованиям по безопасности.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография
ISO/IEC 15408-3:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 3: Компоненты обеспечения уверенности в безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 3: Security assurance components) объёмом 190 страниц, см. https://www.iso.org/standard/15408-3 и https://www.iso.org/obp/ui/en/#!iso:std:88136:en .
В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», см. https://protect.gost.ru/gost/details/5abff96a-179f-4819-8e30-9f8efdf4311e
Во вводной части стандарта отмечается:
«Настоящий документ устанавливает требования по обеспечению уверенности для частей стандарта ISO/IEC 15408. Он включает в себя отдельные компоненты обеспечения уверенности, из которых формируются уровни обеспечения уверенности и другие пакеты, описанные в ISO/IEC 15408-5, а также критерии оценки профилей защиты (PP), их конфигураций и модулей, и целевых показателей безопасности (ST).»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма обеспечения уверенности
6. Компоненты обеспечения уверенности в безопасности
7. Класс APE: Оценка профиля защиты
8. Класс ACE: Оценка конфигурации профиля защиты
9. Класс ASE: Оценка целевого показателя безопасности
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс ATE: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс ACO: Композиция
Приложения
Библиография
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма обеспечения уверенности
6. Компоненты обеспечения уверенности в безопасности
7. Класс APE: Оценка профиля защиты
8. Класс ACE: Оценка конфигурации профиля защиты
9. Класс ASE: Оценка целевого показателя безопасности
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс ATE: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс ACO: Композиция
Приложения
Библиография
ISO/IEC 15408-4:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 4: Концепция спецификации методов и мероприятий оценки» (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities) объёмом 24 страницы, см. https://www.iso.org/standard/15408-4 и https://www.iso.org/obp/ui/en/#!iso:std:88138:en .
Во вводной части стандарта отмечается:
«Настоящий документ устанавливает требования и описывает стандартизированную концепцию для специфицирования объективных, повторяемых и воспроизводимых методов оценки и оценочных действий.
В данном документе не устанавливается, как оценивать, внедрять или поддерживать методы и мероприятия по оценке. Эти аспекты являются прерогативой тех, кто разрабатывает методы и мероприятия по оценке для своей конкретной области интересов.»
В данном документе не устанавливается, как оценивать, внедрять или поддерживать методы и мероприятия по оценке. Эти аспекты являются прерогативой тех, кто разрабатывает методы и мероприятия по оценке для своей конкретной области интересов.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общая модель методов оценки и оценочной деятельности
5. Структура метода оценки
6. Структура оценочной деятельности
Библиография
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общая модель методов оценки и оценочной деятельности
5. Структура метода оценки
6. Структура оценочной деятельности
Библиография
ISO/IEC 15408-5:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 5: Предопределенные пакеты требований по безопасности» (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements) объёмом 36 страниц, см. https://www.iso.org/standard/15408-5 и https://www.iso.org/obp/ui/en/#!iso:std:88140:en .
Во вводной части стандарта отмечается:
«В настоящем документе представлены пакеты для обеспечения уверенности в безопасности и функциональные требования безопасности, которые, как предполагается, будут полезны для поддержки типичного применения заинтересованными сторонами.
В число пользователей данного документа могут входить потребители, разработчики и эксперты по оценке безопасных ИТ-продуктов».
В число пользователей данного документа могут входить потребители, разработчики и эксперты по оценке безопасных ИТ-продуктов».
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Уровни обеспечении уверенности при оценке (Evaluation assurance levels, EAL)
5. Составные пакеты для обеспечения уверенности (Composed assurance packages, CAP)
6. Составные пакеты продуктов (Composite product packages, COMP)
7. Обеспечение уверенности в профилях защиты (Protection profile assurances, PPA)
8. Уверенность в целевых показателях безопасности (Security target assurances, STA)
Источник: сайт ИСО
https://www.iso.org/standard/15408-1
https://www.iso.org/obp/ui/en/#!iso:std:88134:en
https://www.iso.org/standard/15408-2
https://www.iso.org/obp/ui/en/#!iso:std:88135:en
https://www.iso.org/standard/15408-3
https://www.iso.org/obp/ui/en/#!iso:std:88136:en
https://www.iso.org/standard/15408-4
https://www.iso.org/obp/ui/en/#!iso:std:88138:en
https://www.iso.org/standard/15408-5
https://www.iso.org/obp/ui/en/#!iso:std:88140:en
