5.1 Общая информация ГОСТ Р ИСО/МЭК 15408-1-2012
В этом разделе представлены основные концептуальные положения ИСО/МЭК 15408. В нем определены понятие «ОО», категории пользователей ИСО/МЭК 15408, контекст оценки и принятый подход к дальнейшему представлению материала в ИСО/МЭК 15408 [из 5.1 Общая информация ГОСТ Р ИСО/МЭК 15408–1–2012]
5.2 Объект оценки ГОСТ Р ИСО/МЭК 15408-1-2012
ИСО/МЭК 15408 является гибким в отношении того, что оценивается и, таким образом, не привязывается, как это обычно понималось, к границам только продуктов ИТ.
Таким образом, в контексте оценки в ИСО/МЭК 15408 используется термин «ОО» (объект оценки).
ОО определяется как набор программных, программно–аппаратных и (или) аппаратных средств, возможно сопровождаемых руководствами.
Хотя бывают случаи, что ОО представляет собой продукт ИТ, это не всегда так. ОО может быть продуктом ИТ, частью продукта ИТ, набором продуктов ИТ, уникальной технологией, которая может быть никогда не будет реализована в виде продукта, или сочетанием указанных вариантов.
Относительно ИСО/МЭК 15408 четкое соотношение между ОО и любыми продуктами ИТ является важным только в одном аспекте: оценку ОО, содержащего часть продукта ИТ, не следует ошибочно представлять как оценку продукта ИТ в целом.
Примерами ОО являются:
- прикладная программа;
- операционная система;
- прикладная программа в сочетании с операционной системой;
- прикладная программа в сочетании с операционной системой и рабочей станцией;
- операционная система в сочетании с рабочей станцией;
- интегральная схема смарт–карты;
- локальная вычислительная сеть, включая все терминалы, серверы, сетевое оборудование и программные средства;
- приложение базы данных за исключением программных средств удаленного клиента, обычно ассоциируемых с приложением базы данных.
[из 5.2 Объект оценки ГОСТ Р ИСО/МЭК 15408–1–2012]
5.2.1 Различные представления ОО ГОСТ Р ИСО/МЭК 15408-1-2012
В ИСО/МЭК 15408 ОО может встречаться в нескольких представлениях, таких как (для программного ОО):
- список файлов в системе управления конфигурацией;
- отдельная мастер–копия, которая была только что скомпилирована;
- коробка, содержащая компакт–диск и руководства, готовая для поставки потребителю;
- установленная и функционирующая версия.
Все из перечисленного считается ОО, где в дальнейшем в ИСО/МЭК 15408 используется термин «ОО», его конкретное представление определяется из контекста [из 5.2.1 Различные представления ОО ГОСТ Р ИСО/МЭК 15408–1–2012]
5.2.2 Различные конфигурации ОО ГОСТ Р ИСО/МЭК 15408-1-2012
Обычно продукты ИТ могут быть сконфигурированы различными способами путем включения или отключения различных опций при инсталляции. Так как в процессе оценки по ИСО/МЭК 15408 будет определяться, удовлетворяет ли ОО определенным требованиям, данная гибкость конфигурации может привести к проблемам, так как все возможные конфигурации ОО должны удовлетворять этим требованиям. По этим причинам частыми являются случаи, когда руководства как часть ОО строго ограничивают возможные конфигурации ОО. Таким образом, руководства ОО могут отличаться от общих руководств для продукта ИТ.
Примером является продукт ИТ «Операционная система». Этот продукт может быть сконфигурирован различными способами (например, типы пользователей, количество пользователей, типы разрешенных/неразрешенных внешних подключений, включение/отключение опций и др.)
Если такой продукт ИТ должен быть ОО и оценен на соответствие обоснованному набору требований, его конфигурацию следует намного более тщательно контролировать, так как многие опции (например, разрешение всех типов внешних подключений или отсутствие необходимости аутентификации администратора системы) приведут к тому, что ОО не будет удовлетворять требованиям.
По этой причине нормальным бы являлось дифференциация руководств для продукта ИТ (допускающих много конфигураций) и руководств для ОО (допускающихтолько одну конфигурацию или только те конфигурации, которые не отличаются относительно способов обеспечения безопасности).
Если руководства ОО допускают более одной конфигурации, то все эти конфигурации вместе именуются «ОО», и каждая такая конфигурация должна удовлетворять требованиям, предъявляемым к ОО [из 5.2.2 Различные конфигурации ОО ГОСТ Р ИСО/МЭК 15408–1–2012]
5.3 Пользователи ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 15408-1-2012
В оценке характеристик безопасности ОО заинтересованы в основном три группы пользователей: потребители, разработчики и оценщики. Критерии, представленные в настоящем документе, структурированы в интересах этих групп, потому что именно они рассматриваются как основные пользователи ИСО/МЭК 15408. Далее объясняется, какую пользу могут принести критерии каждой из этих групп [из 5.3 Пользователи ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 15408–1–2012]
5.3.1 Потребители ГОСТ Р ИСО/МЭК 15408-1-2012
ИСО/МЭК 15408 разработан, чтобы обеспечить посредством оценки удовлетворение запросов потребителей, поскольку это является основной целью и логическим обоснованием процесса оценки.
Результаты оценки помогают потребителям решить, удовлетворяет ли ОО их потребности в безопасности. Эти потребности обычно определяются как следствие анализа рисков, а также направленности политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных ОО. Иерархическое представление требований доверия способствует этому.
ИСО/МЭК 15408 предоставляет потребителям, особенно входящим в группы и сообщества с едиными интересами, независимую от реализации структуру, называемую профилем защиты (ПЗ), для однозначного выражения их требований безопасности [из 5.3.1 Потребители ГОСТ Р ИСО/МЭК 15408–1–2012]
5.3.2 Разработчики ГОСТ Р ИСО/МЭК 15408-1-2012
ИСО/МЭК 15408 предназначен для поддержки разработчиков при подготовке к оценке своих ОО и содействии в ее проведении, а также при установлении требований безопасности, которым должны удовлетворять эти ОО. Данные требования содержатся в зависимой от реализации конструкции, называемой заданием по безопасности (ЗБ). Эти ЗБ могут базироваться на одном или нескольких ПЗ, чтобы показать, что ЗБ соответствуют требованиям безопасности, предъявленных потребителями, которые установлены в данных ПЗ.
ИСО/МЭК 15408 можно использовать для определения обязанностей и действий по предоставлению свидетельств, необходимых при проведении оценки ОО по этим требованиям. Он также определяет содержание и представление таких свидетельств [из 5.3.2 Разработчики ГОСТ Р ИСО/МЭК 15408–1–2012]
5.3.3 Оценщики ГОСТ Р ИСО/МЭК 15408-1-2012
В ИСО/МЭК 15408 содержатся критерии, предназначенные для использования оценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям безопасности. В ИСО/МЭК 15408 дается описание совокупности основных действий, выполняемых оценщиком. При этом в ИСО/МЭК 15408 не определены процедуры, которых следует придерживаться при выполнении этих действий. Дальнейшая информация по этим процедурам приведена в 5.5 [из 5.3.3 Оценщики ГОСТ Р ИСО/МЭК 15408–1–2012]
5.3.4 Прочие ГОСТ Р ИСО/МЭК 15408-1-2012
Хотя ИСО/МЭК 15408 ориентирован на определение и оценку характеристик безопасности ИТ для объектов оценки, он также может служить справочным материалом для всех, кто интересуется вопросами безопасности ИТ или несет ответственность за них. Среди них можно выделить, например, следующие группы, представители которых смогут извлечь пользу из информации, приведенной в ИСО/МЭК 15408:
- лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;
- аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопасности ИТ–решения (которое может состоять из ОО или включать ОО);
- проектировщики систем безопасности, ответственные за характеристики безопасности продуктов ИТ;
- аттестующие, ответственные за приемку ИТ–решения в эксплуатацию в конкретной среде;
- заявители, заказывающие оценку и обеспечивающие ее проведение;
- органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.
[из 5.3.4 Прочие ГОСТ Р ИСО/МЭК 15408–1–2012]
5.4 Части ГОСТ Р ИСО/МЭК 15408-1-2012
ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже. Термины, используемые при описании отдельных частей ИСО/МЭК 15408, приведены в разделе 6.
- Часть 1 «Введение и общая модель» является введением в ИСО/МЭК 15408. В ней определяются общие понятия и принципы оценки безопасности ИТ и приводится общая модель оценки.
- Часть 2 «Функциональные компоненты безопасности» устанавливает совокупность функциональных компонентов, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать функциональные требования к ОО. ИСО/МЭК 15408–2 содержит каталог функциональных компонентов, систематизированных по семействам и классам.
- Часть 3 «Компоненты доверия к безопасности» устанавливает совокупность компонентов доверия, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать требования доверия к ОО. ИСО/МЭК 15408–3 содержит каталог компонентов доверия, систематизированных по семействам и классам. Кроме того, в ИСО/МЭК 15408–3 определены критерии оценки профилей защиты и заданий по безопасности и представлены семь предопределенных пакетов доверия, которые названы оценочными уровнями доверия (ОУД).
В поддержку трех частей ИСО/МЭК 15408, перечисленных выше, опубликованы и другие документы. Например, ИСО/МЭК 18045 предоставляет методологию оценки безопасности ИТ, используя ИСО/МЭК 15408 как основу. Предполагается, что будут опубликованы и другие документы, включая нормативно–методические материалы и руководства.
В таблице 1 показано, в каком качестве различные части ИСО/МЭК 15408 будут представлять интерес для каждой из трех основных групп пользователей ИСО/МЭК 15408.
Таблица 1 — Использование частей ИСО/МЭК 15408 основными группами пользователей
Часть ИСО/МЭК 15408 | Оценщики | ||
1 | Используют для получения общих сведений и должны использовать в качестве справочного руководства и руководства по структуре профилей защиты | Используют для получения общих сведений и в качестве справочного руководства. Должны использовать при разработке спецификаций безопасности для объектов оценки | Должны использовать в качестве справочного руководства и руководства по структуре профилей защиты и заданий по безопасности |
2 | Используют в качестве руководства и справочника при формулировании требований для ОО | Должны использовать в качестве справочника при интерпретации изложения функциональных требований и формулировании функциональных спецификаций для объектов оценки | Должны использовать в качестве справочного руководства при интерпретации изложения функциональных требований |
3 | Используют в качестве руководства при определении требуемых уровней доверия | Используют в качестве справочника при интерпретации изложения требований доверия и определении подходов к установлению доверия к объектам оценки | Используют в качестве справочного руководства при интерпретации изложения требований доверия |
[из 5.4 Части ГОСТ Р ИСО/МЭК 15408–1–2012]
5.5 Контекст оценки ГОСТ Р ИСО/МЭК 15408-1-2012
Для достижения большей сравнимости результатов оценок их следует проводить в рамках официальной системы оценки, которая устанавливает стандарты, контролирует качество оценок и определяет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и самим оценщикам.
В ИСО/МЭК 15408 (во всех частях) не излагаются требования к правовой базе. Однако согласованность правовой базы различных органов оценки является необходимым условием достижения взаимного признания результатов оценок.
Второе направление достижения большей сравнимости результатов оценок заключается в использовании общей методологии получения этих результатов. Для всех частей ИСО/МЭК 15408 такая методология приведена в ИСО/МЭК 18045.
Использование общей методологии оценки позволяет достичь повторяемости и объективности результатов, но только этого недостаточно. Многие из критериев оценки требуют привлечения экспертных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для повышения согласованности выводов, полученных при оценке, ее конечные результаты могут быть представлены на сертификацию.
Процесс сертификации представляет собой независимую экспертизу результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публикуются и являются общедоступными. Сертификация является средством обеспечения большей согласованности в применении критериев безопасности ИТ.
Системы оценки и процессы сертификации находятся в ведении органов оценки, управляющих системами и процессами оценки, и не входят в область действия ИСО/МЭК 15408 (всех частей) [из 5.5 Контекст оценки ГОСТ Р ИСО/МЭК 15408–1–2012]
