Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408–1–2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model. УДК 681.324:006.354 ОКС 35.040 П85 ОКСТУ 4002. Редакция от 16.12.2023.

5.4 Части ГОСТ Р ИСО/МЭК 15408-1-2012

ИСО/МЭК 15408 состоит из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже. Термины, используемые при описании отдельных частей ИСО/МЭК 15408, приведены в разделе 6.

  1. Часть 1 «Введение и общая модель» является введением в ИСО/МЭК 15408. В ней определяются общие понятия и принципы оценки безопасности ИТ и приводится общая модель оценки.
  2. Часть 2 «Функциональные компоненты безопасности» устанавливает совокупность функциональных компонентов, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать функциональные требования к ОО. ИСО/МЭК 15408–2 содержит каталог функциональных компонентов, систематизированных по семействам и классам.
  3. Часть 3 «Компоненты доверия к безопасности» устанавливает совокупность компонентов доверия, предназначенных для использования в качестве стандартных шаблонов, на основе которых следует устанавливать требования доверия к ОО. ИСО/МЭК 15408–3 содержит каталог компонентов доверия, систематизированных по семействам и классам. Кроме того, в ИСО/МЭК 15408–3 определены критерии оценки профилей защиты и заданий по безопасности и представлены семь предопределенных пакетов доверия, которые названы оценочными уровнями доверия (ОУД).

В поддержку трех частей ИСО/МЭК 15408, перечисленных выше, опубликованы и другие документы. Например, ИСО/МЭК 18045 предоставляет методологию оценки безопасности ИТ, используя ИСО/МЭК 15408 как основу. Предполагается, что будут опубликованы и другие документы, включая нормативно–методические материалы и руководства.

В таблице 1 показано, в каком качестве различные части ИСО/МЭК 15408 будут представлять интерес для каждой из трех основных групп пользователей ИСО/МЭК 15408.

Таблица 1 — Использование частей ИСО/МЭК 15408 основными группами пользователей

Часть ИСО/МЭК 15408

Потребители

Разработчики

Оценщики

1

Используют для получения общих сведений и должны использовать в качестве справочного руководства и руководства по структуре профилей защиты

Используют для получения общих сведений и в качестве справочного руководства. Должны использовать при разработке спецификаций безопасности для объектов оценки

Должны использовать в качестве справочного руководства и руководства по структуре профилей защиты и заданий по безопасности

2

Используют в качестве руководства и справочника при формулировании требований для ОО

Должны использовать в качестве справочника при интерпретации изложения функциональных требований и формулировании функциональных спецификаций для объектов оценки

Должны использовать в качестве справочного руководства при интерпретации изложения функциональных требований

3

Используют в качестве руководства при определении требуемых уровней доверия

Используют в качестве справочника при интерпретации изложения требований доверия и определении подходов к установлению доверия к объектам оценки

Используют в качестве справочного руководства при интерпретации изложения требований доверия

[из 5.4 Части ГОСТ Р ИСО/МЭК 15408–1–2012]

    5.5 Контекст оценки ГОСТ Р ИСО/МЭК 15408-1-2012

    Для достижения большей сравнимости результатов оценок их следует проводить в рамках официальной системы оценки, которая устанавливает стандарты, контролирует качество оценок и определяет нормы, которыми необходимо руководствоваться организациям, проводящим оценку, и самим оценщикам.

    В ИСО/МЭК 15408 (во всех частях) не излагаются требования к правовой базе. Однако согласованность правовой базы различных органов оценки является необходимым условием достижения взаимного признания результатов оценок.

    Второе направление достижения большей сравнимости результатов оценок заключается в использовании общей методологии получения этих результатов. Для всех частей ИСО/МЭК 15408 такая методология приведена в ИСО/МЭК 18045.

    Использование общей методологии оценки позволяет достичь повторяемости и объективности результатов, но только этого недостаточно. Многие из критериев оценки требуют привлечения экспертных решений и базовых знаний, добиться согласованности которых бывает нелегко. Для повышения согласованности выводов, полученных при оценке, ее конечные результаты могут быть представлены на сертификацию.

    Процесс сертификации представляет собой независимую экспертизу результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публикуются и являются общедоступными. Сертификация является средством обеспечения большей согласованности в применении критериев безопасности ИТ.

    Системы оценки и процессы сертификации находятся в ведении органов оценки, управляющих системами и процессами оценки, и не входят в область действия ИСО/МЭК 15408 (всех частей) [из 5.5 Контекст оценки ГОСТ Р ИСО/МЭК 15408–1–2012]

      6.1 Введение к общей модели ГОСТ Р ИСО/МЭК 15408-1-2012

      В этом разделе представлены общие понятия, используемые во всех частях ИСО/МЭК 15408, включая контекст использования этих понятий, и подход ИСО/МЭК 15408 к их применению. ИСО/МЭК 15408–2 и ИСО/МЭК 15408–3, к которым должны обращаться пользователи ИСО/МЭК 15408–1, развивают эти понятия в рамках описанного подхода. Кроме того, тем пользователям ИСО/МЭК 15408–1, которые собираются выполнять виды деятельности по оценке, необходим ИСО/МЭК 18045. Данный раздел предполагает наличие определенных знаний по безопасности ИТ и не предназначен для использования в качестве учебного пособия в этой области.

      Безопасность в ИСО/МЭК 15408 (во всех частях) рассмотрена с использованием совокупности понятий безопасности и терминологии. Их понимание является предпосылкой эффективного использования ИСО/МЭК 15408 (всех частей). Однако сами по себе эти понятия имеют самый общий характер и не предназначены для ограничения класса проблем безопасности ИТ, к которым применим ИСО/МЭК 15408 [из 6.1 Введение к общей модели ГОСТ Р ИСО/МЭК 15408–1–2012]

        6.2 Активы и контрмеры ГОСТ Р ИСО/МЭК 15408-1-2012

        Безопасность связана с защитой активов. Активы — это сущности, представляющие ценность для кого–либо. Примеры активов включают:

        • содержание файла или сервера;
        • подлинность голосов, поданных на выборах;
        • доступность процесса электронной коммерции;
        • возможность использовать дорогостоящий принтер;
        • доступ к средствам ограниченного доступа.

        Но так как ценность — это весьма субъективное понятие, то почти все, что угодно, может рассматриваться в качестве активов.

        Среда, в которой размещаются эти активы, называется средой функционирования. Примерами (аспектами) среды функционирования являются:

        Многие активы представлены в виде информации, которая хранится, обрабатывается и передается продуктами ИТ таким образом, чтобы удовлетворить требования владельцев этой информации. Владельцы информации вправе требовать, чтобы доступность, распространение и модификация любой такой информации строго контролировались и активы были защищены от угроз контрмерами. Рисунок 2 иллюстрирует высокоуровневые понятия безопасности и их взаимосвязь.

        - Понятия безопасности и их взаимосвязь

        Рисунок 2 — Понятия безопасности и их взаимосвязь

        За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Примерами источников угрозы являются хакеры, злонамеренные пользователи, незлонамеренные пользователи (которые иногда делают ошибки), компьютерные процессы и сбои.

        Владельцы активов будут воспринимать такие угрозы как потенциальную возможность нанесения такого ущерба активам, при котором ценность активов для владельцев уменьшилась бы. Специфичный для безопасности ущерб обычно состоит в следующем (но не ограничивается этим): потеря конфиденциальности активов, потеря целостности активов или потеря доступности активов.

        Таким образом, эти угрозы увеличивают риски для активов, зависящие от вероятности реализации угрозы и ущерба активам при реализации рассматриваемой угрозы. Для того чтобы уменьшить риски для активов, реализуются контрмеры. Эти контрмеры могут включать ИТ–контрмеры (такие как межсетевые экран и смарт–карты) и не–ИТ–контрмеры (такие как охрана и процедуры). Более широкое рассмотрение контрмер (мер безопасности), а также способов их реализации и управления ими представлено в ИСО/МЭК 27001 и ИСО/МЭК 27002.

        Поскольку за активы могут нести (несут) ответственность их владельцы, то им следует иметь возможность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами.

        При отстаивании этого решения должна иметься возможность продемонстрировать два важных момента, что:

        • контрмеры являются достаточными, если контрмеры выполняют то, что заявлено, и угрозам, направленным на активы, обеспечивается противостояние;
        • контрмеры являются корректными, если контрмеры выполняют то, что заявлено.

        Многие владельцы активов не имеют знаний, опыта или ресурсов, необходимых для вынесения суждения о достаточности и корректности контрмер, и при этом они могут не захотеть полагаться исключительно на утверждения разработчиков этих контрмер. Вследствие этого данные потребители могут захотеть повысить свою уверенность в достаточности и корректности некоторых или всех контрмер путем заказа оценки этих контрмер.

        Рисунок 3 иллюстрирует понятия, используемые при оценке, и их взаимосвязь.

        - Понятия, используемые при оценке, и их взаимосвязь

        Рисунок 3 — Понятия, используемые при оценке, и их взаимосвязь

        [из 6.2 Активы и контрмеры ГОСТ Р ИСО/МЭК 15408–1–2012]

          6.2.1 Достаточность контрмер ГОСТ Р ИСО/МЭК 15408-1-2012

          При оценке достаточность контрмер анализируется через конструкцию, называемую заданием по безопасности. В данном пункте представлен упрощенный обзор этой конструкции: более детальное и полное описание можно найти в приложении А.

          Задание по безопасности начинается с описания активов и угроз этим активам. Затем в задании по безопасности описываются контрмеры (в форме целей безопасности) и демонстрируется, что данные контрмеры являются достаточными, чтобы противостоять описанным угрозам: если контрмеры осуществляют то, что заявлено по отношению к ним, то обеспечено противостояние угрозам.

          Далее в задании по безопасности контрмеры делятся на две группы:

          1. цели безопасности для ОО: они описывают контрмеры, корректность которых будет определяться при оценке;
          2. цели безопасности для среды функционирования: они описывают контрмеры, корректность которых не будет определяться при оценке.

          Причинами данного разделения являются:

          • ИСО/МЭК 15408 применим только для оценивания корректности контрмер ИТ. Следовательно, не–ИТ–контрмеры (например, сотрудники службы безопасности, процедуры) всегда относят к среде функционирования;
          • оценивание корректности контрмер требует затрат времени и денег, возможно делая неосуществимой оценку корректности всех контрмер ИТ;
          • корректность некоторых контрмер ИТ может быть уже оценена в ходе другой оценки. Следовательно, экономически неэффективно проводить их повторную оценку.

          В задании по безопасности для ОО (корректность контрмер ИТ которого будут оценивать в процессе оценки) требуется дальнейшая детализация целей безопасности для ОО в функциональных требованиях безопасности (ФТБ). Эти ФТБ формулируют на стандартном языке (описанном в ИСО/МЭК 15408–2), чтобы обеспечить точность и облегчить сопоставимость.

          Таким образом, в задании по безопасности демонстрируется, что:

          • ФТБ удовлетворяют целям безопасности для ОО;
          • цели безопасности для ОО и цели безопасности для среды функционирования противостоят угрозам;
          • и следовательно ФТБ и цели безопасности для среды функционирования противостоят угрозам.

          Из этого следует, что корректный ОО (удовлетворяющий ФТБ) в сочетании с корректной средой функционирования (удовлетворяющей целям безопасности для среды функционирования) будет противостоять угрозам. Ниже отдельно рассматриваются корректность ОО и корректность среды функционирования [из 6.2.1 Достаточность контрмер ГОСТ Р ИСО/МЭК 15408–1–2012]

            6.2.2 Корректность ОО ГОСТ Р ИСО/МЭК 15408-1-2012

            Объект оценки может быть неправильно спроектирован и реализован и может, таким образом, содержать ошибки, которые ведут к уязвимостям. Посредством использования этих уязвимостей, нарушители могут причинить ущерб и (или) несанкционированно использовать активы.

            Эти уязвимости могут являться результатом случайных ошибок, сделанных в течение разработки, ненадлежащего проектирования, преднамеренного внедрения вредоносного кода, ненадлежащего тестирования и др.

            Для определения корректности ОО могут выполняться различные виды деятельности, такие как:

            Задание по безопасности обеспечивает структурированное описание этих видов деятельности для определения корректности в форме требований доверия к безопасности (ТДБ). Эти ТДБ формулируются на стандартном языке (описанном в ИСО/МЭК 15408–3), чтобы обеспечить точность и облегчить сопоставимость.

            Если ТДБ удовлетворяются, то существует доверие к корректности ОО, и, таким образом, меньше вероятность, что ОО содержит уязвимости, которые могут быть использованы нарушителем. Величина доверия, которое существует по отношению к корректности ОО, определяется самими ТДБ: несколько «слабых» ТДБ приведут к малому доверию, большое число «сильных» ТДБ приведет к большему доверию [из 6.2.2 Корректность ОО ГОСТ Р ИСО/МЭК 15408–1–2012]

              6.2.3 Корректность среды функционирования ГОСТ Р ИСО/МЭК 15408-1-2012

              Среда функционирования также может быть неправильно спроектирована и реализована и может, таким образом, содержать ошибки, которые ведут к уязвимостям. Посредством использования этих уязвимостей, нарушители могут причинить ущерб и (или) несанкционированно использовать активы.

              Однако в ИСО/МЭК 15408 доверие не приобретается при рассмотрении корректности среды функционирования. Или, другими словами, среда функционирования не оценивается (см. 6.3).

              Что касается оценки, то предполагается, что среда функционирования является на 100 % правильным отражением целей безопасности для среды функционирования.

              Это не мешает потребителю ОО использовать другие методы определения корректности конкретной среды функционирования, такие как:

              • если для ОО типа «ОС» установлены цели безопасности для среды функционирования: «Среда функционирования должна обеспечить, что сущности из недоверенной сети (например, Интернета) могут осуществлять доступ к ОО только по ftp», то потребитель мог бы выбрать оцененный межсетевой экран и настроить его так, чтобы к ОО был разрешен доступ только по ftp;
              • если для ОО установлены цели безопасности для среды функционирования: «Среда функционирования должна обеспечить, что никто из всего административного персонала не будет вести себя злонамеренно», то потребитель мог бы адаптировать свои контракты с административным персоналом для включения штрафных санкций за злонамеренное поведение, но это решение не является частью оценки в соответствии с ИСО/МЭК 15408.

              [из 6.2.3 Корректность среды функционирования ГОСТ Р ИСО/МЭК 15408–1–2012]

                6.3 Оценка ГОСТ Р ИСО/МЭК 15408-1-2012

                По стандарту ИСО/МЭК 15408 признают два типа оценки: оценка ЗБ/ОО, которая описывается ниже, и оценка ПЗ, которая определяется в ИСО/МЭК 15408–3. Много раз в ИСО/МЭК 15408 использован термин «оценка» (без уточнений) для ссылки на оценку ЗБ/ОО.

                По ИСО/МЭК 15408 оценка ЗБ/ОО проходит в два этапа:

                1. оценка ЗБ: на этом этапе определяют достаточность ОО и среды функционирования;
                2. оценка ОО: на этом этапе определяют корректность ОО; как отмечалось ранее, оценка ОО не включает оценку корректности среды функционирования.

                Оценку ЗБ выполняют путем применения критериев оценки заданий по безопасности (которые определены в разделе ASE ИСО/МЭК 15408–3). Конкретный способ применения критериев ASE определяется используемой методологией оценки.

                Оценка ОО является более комплексной. Основные исходные данные для оценки ОО: свидетельства оценки, которые включают ОО и ЗБ, а также, как правило, исходные данные, получаемые из среды разработки, такие как проектная документация или результаты тестирования разработчиком.

                Оценка ОО заключается в применении ТДБ (из задания по безопасности) к свидетельствам оценки. Конкретный способ применения конкретного ТДБ определяется используемой методологией оценки.

                Как документировать результаты применения ТДБ, какие отчеты необходимо генерировать и в какой степени детализации – определяется в соответствии с используемой методологией оценки и в соответствии с требованиями системы оценки, в рамках которой выполняется оценка.

                Результатом процесса оценки ОО будет:

                • либо утверждение, что не все ТДБ удовлетворены, и поэтому не достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ;
                • либо утверждение, что все ТДБ удовлетворены, и поэтому достигнут заданный уровень доверия к тому, что ОО удовлетворяет ФТБ, которые изложены в ЗБ.

                Оценка ОО может быть выполнена после завершения разработки ОО или параллельно с разработкой ОО.

                Способ изложения результатов оценки ЗБ/ОО описан в разделе 9. В этих результатах также идентифицируют ПЗ и пакет(ы), по отношению к которым заявлено соответствие ОО; эти конструкции описаны в разделе 8 [из 6.3 Оценка ГОСТ Р ИСО/МЭК 15408–1–2012]

                  7 Доработка требований безопасности для конкретного применения ГОСТ Р ИСО/МЭК 15408-1-2012

                    Страницы

                    Подписка на Из ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель