ГОСТ Р ИСО/МЭК ТО 19791-2008

ИНФОРМАЦИОННАЯ  ТЕХНОЛОГИЯ

МЕТОДЫ  И  СРЕДСТВА  ОБЕСПЕЧЕНИЯ  БЕЗОПАСНОСТИ

ОЦЕНКА  БЕЗОПАСНОСТИ  АВТОМАТИЗИРОВАННЫХ  СИСТЕМ

(Аннотация)

Стандарт утвержден и введен в действие с 01.10.2009 Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 № 525-ст.

Введен впервые.

Стандарт идентичен международному стандарту ИСО/МЭК/ТО 19791:2006 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем " (ISO/IEC/TR 19791:2006 "Information technology - Security techniques - Security assessment of operational systems").

Стандарт содержит дополнительные правила (процедуры) к международным стандартам ИСО/МЭК 15408-1, ИСО/МЭК 15408-2, ИСО/МЭК 15408-3 (далее - стандарты серии ИСО/МЭК 15408) в интересах оценки (оценивания) безопасности автоматизированных систем. Требования, установленные в стандартах серии ИСО/МЭК 15408, обеспечивают задание и определение функциональных возможностей безопасности продуктов и систем, входящих в состав информационных технологий. Однако стандарты серии ИСО/МЭК 15408 не рассматривают некоторые критические (важные) аспекты безопасности автоматизированной системы, которые должны быть четко специфицированы для их эффективного оценивания.

Стандарт содержит дополнительные критерии оценки и рекомендации по оценке аспектов безопасности, связанных как с информационными технологиями, так и с применением их в автоматизированных системах.

Относительно определения и использования термина "система" существуют фундаментальные проблемы. В стандартах серии ИСО/МЭК 15408, целью которых является оценка продуктов информационных технологий, термин "система" используется для учета только аспектов информационных технологий конкретной системы.

Определение термина "автоматизированная система", используемого в настоящем стандарте, включает в себя совокупность персонала, процедур и процессов, интегрированных с функциями и механизмами информационных технологий, применяемых совместно, чтобы установить приемлемый уровень остаточного риска в установленной среде функционирования автоматизированной системы.

Данный стандарт, прежде всего, предназначен для тех, кто связан с разработкой, интеграцией, развертыванием и управлением безопасностью автоматизированных систем, а также для организаций, оказывающих услуги по оценке, пытающихся применить требования стандартов серии ИСО/МЭК 15408 к подобным системам.

Данный стандарт будет также необходим органам, осуществляющим оценку соответствия, ответственным за утверждение и подтверждение правильности действий организаций, оказывающих услуги по оценке. Заказчики оценки безопасности и другие стороны, заинтересованные в безопасности автоматизированных систем, будут дополнительными пользователями сведений общего характера в области безопасности информации.

Данный стандарт содержит рекомендации и критерии оценки безопасности автоматизированных систем (далее - АС), а также обеспечивает расширение области применения стандартов серии ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации объекта оценки и декомпозиции составных АС на домены безопасности, которые должны оцениваться отдельно.

Данный стандарт устанавливает:

- определение и модель АС;

- описание расширений концепции оценки безопасности с помощью стандартов серии ИСО/МЭК 15408, необходимых для оценки АС;

- методологию и процесс выполнения оценки безопасности АС;

- дополнительные критерии оценки безопасности, охватывающие те аспекты АС, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.

Данный стандарт дает возможность включать продукты безопасности, оцененные в соответствии с требованиями стандартов серии ИСО/МЭК 15408, в автоматизированные системы и проводить оценку как единого целого с использованием положений данного стандарта.

Данный стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем. Стандарт также не определяет методы и средства идентификации, оценки и принятия эксплуатационного риска.

Содержание:

Предисловие

Сведения о стандарте

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Сокращения

5. Методологический подход к решению проблемы безопасности

5.1. Сущность автоматизированных систем

5.2. Обеспечение безопасности автоматизированных систем

5.3. Безопасность в жизненном цикле автоматизированных систем

5.3.1. Общие положения

5.3.2. Стадия разработки/интеграции

5.3.3. Стадия установки (внедрения)

5.3.4. Стадия эксплуатации системы

5.3.5. Стадия модификации

5.4. Взаимосвязь с другими системами

6. Распространение принципов оценки безопасности автоматизированных систем, установленных в стандартах серии ИСО/МЭК 15408

6.1. Общие положения

6.2. Основные принципы оценки безопасности

6.3. Доверие к автоматизированным системам

6.4. Комбинированные автоматизированные системы

6.5. Типы мер обеспечения безопасности

6.6. Функциональные возможности обеспечения безопасности систем

6.7. Определение времени оценки

6.8. Использование оцененных продуктов

6.9. Требования к документации

6.10. Действия по тестированию

6.11. Управление конфигурацией

7. Взаимосвязь с существующими стандартами безопасности

7.1. Общие положения

7.2. Взаимосвязь со стандартами серии ИСО/МЭК 15408

7.3. Взаимосвязь со стандартами, не связанными с оценкой

7.4. Взаимосвязь с разработкой Общих критериев

8. Оценка автоматизированных систем

8.1. Введение

8.2. Роли оценки и обязанности

8.3. Оценка риска и определение неприемлемых рисков

8.4. Определение проблемы безопасности

8.5. Цели безопасности

8.6. Требования безопасности

8.6.1. Введение

8.6.2. Функциональные требования безопасности

8.6.3. Требования доверия к безопасности

8.7. Задание по безопасности для системы

8.8. Периодическая переоценка

Приложение A (обязательное). Профили защиты и задания по безопасности для автоматизированных систем

Приложение B (обязательное). Функциональные требования безопасности автоматизированных систем

Приложение C (обязательное). Требования доверия к безопасности автоматизированной системы

Приложение D (справочное). Взаимосвязь с разработкой общих критериев

Приложение E (справочное). Сведения о соответствии национальных стандартов

Библиография