Ленты новостей RSS
Главные новости Главные новости
Новости законодательства Новости законодательства
Лента новостей Лента новостей
Судебная практика Судебная практика
Обзор законодательства Обзор законодательства
Письма Минфина Письма Минфина
Обзор изменений Обзор изменений
Используйте наши ленты новостей и Вы всегда будете в курсе событий. Достаточно установить любое RSS расширение для браузера, например RSS Feed Reader
Если что-то не нашли
Присоединяйтесь!
Зарегистрированных пользователей портала: 504 805. Присоединяйтесь к нам, зарегистрироваться очень просто →
Оглавление

РУКОВОДЯЩИЙ ДОКУМЕНТ. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Общие положения

Часть 1. Введение и общая модель

1. Область применения

2. Определения

2.1 Общие сокращения
2.2 Область применения глоссария
2.3 Глоссарий

3. Краткий обзор

3.1 Введение
3.2 Пользователи ОК
3.3 Контекст оценки
3.4 Структура ОК

4. Общая модель

4.1 Контекст безопасности
4.2 Подход Общих критериев
4.3 Понятия безопасности
4.4 Описательные возможности ОК
4.5 Виды оценок
4.6 Поддержка доверия

5. Требования общих критериев и результаты оценки

5.1 Введение
5.2 Требования, включаемые в ПЗ и ЗБ
5.3 Требования к ОО
5.4 Пояснение результатов оценки
5.5 Использование результатов оценки ОО

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А. ПРОЕКТ ОБЩИХ КРИТЕРИЕВ

А.1 Предыстория
А.2 Разработка Общих критериев

ПРИЛОЖЕНИЕ Б. СПЕЦИФИКАЦИЯ ПРОФИЛЕЙ ЗАЩИТЫ

Б.1 Краткий обзор
Б.2 Содержание профиля защиты

ПРИЛОЖЕНИЕ В. СПЕЦИФИКАЦИЯ ЗАДАНИЙ ПО БЕЗОПАСНОСТИ

В.1 Краткий обзор
В.2 Содержание задания по безопасности

ПРИЛОЖЕНИЕ Г. БИБЛИОГРАФИЯ

Часть 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ

1. Область применения

1.1. Расширение и сопровождение функциональных требований
1.2. Структура
1.3. Парадигма функциональных требований

2. Функциональные компоненты безопасности

2.1. Краткий обзор
2.2. Каталог компонентов

3. Класс FAU. Аудит безопасности

3.1. Автоматическая реакция аудита безопасности (FAU_ARP)
3.2. Генерация данных аудита безопасности (FAU_GEN)
3.3. Анализ аудита безопасности (FAU_SAA)
3.4. Просмотр аудита безопасности (FAU_SAR)
3.5. Выбор событий аудита безопасности (FAU_SEL)
3.6. Хранение данных аудита безопасности (FAU_STG)

4. Класс FCO. Связь

4.1. Неотказуемость отправления (FCO_NRO)
4.2. Неотказуемость получения (FCO_NRR)

5. Класс FCS. Криптографическая поддержка

5.1. Управление криптографическими ключами (FCS_CKM)
5.2. Криптографические операции (FCS_COP)

6. Класс FDP. Защита данных пользователя

6.1. Политика управления доступом (FDP_ACC)
6.2. Функции управления доступом (FDP_ACF)
6.3. Аутентификация данных (FDP_DAU)
6.4. Экспорт данных за пределы действия ФБО (FDP_ETC)
6.5. Политика управления информационными потоками (FDP_IFC)
6.6. Функции управления информационными потоками (FDP_IFF)
6.7. Импорт данных из-за пределов действия ФБО (FDP_ITC)
6.8. Передача в пределах ОО (FDP_ITT)
6.9. Защита остаточной информации (FDP_RIP)
6.10. Откат (FDP_ROL)
6.11. Целостность хранимых данных (FDP_SDI)
6.12. Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT)
6.13. Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

7. Класс FIA. Идентификация и аутентификация

7.1. Отказы аутентификации (FIA_AFL)
7.2. Определение атрибутов пользователя (FIA_ATD)
7.3. Спецификация секретов (FIA_SOS)
7.4. Аутентификация пользователя (FIA_UAU)
7.5. Идентификация пользователя (FIA_UID)
7.6. Связывание пользователь-субъект (FIA_USB)

8. Класс FMT. Управление безопасностью

8.1. Управление отдельными функциями ФБО (FMT_MOF)
8.2. Управление атрибутами безопасности (FMT_MSA)
8.3. Управление данными ФБО (FMT_MTD)
8.4. Отмена (FMT_REV)
8.5. Срок действия атрибута безопасности (FMT_SAE)
8.6. Роли управления безопасностью (FMT_SMR)

9. Класс FPR. Приватность

9.1. Анонимность (FPR_ANO)
9.2. Псевдонимность (FPR_PSE)
9.3. Невозможность ассоциации (FPR_UNL)
9.4. Скрытность (FPR_UNO)

10. Класс FPT. Защита ФБО

10.1. Тестирование базовой абстрактной машины (FPT_AMT)
10.2. Безопасность при сбое (FPT_FLS)
10.3. Доступность экспортируемых данных ФБО (FPT_ITA)
10.4. Конфиденциальность экспортируемых данных ФБО (FPT_ITC)
10.5. Целостность экспортируемых данных ФБО (FPT_ITI)
10.6. Передача данных ФБО в пределах ОО (FPT_ITT)
10.7. Физическая защита ФБО (FPT_PHP)
10.8. Надежное восстановление (FPT_RCV)
10.9. Обнаружение повторного использования (FPT_RPL)
10.10. Посредничество при обращениях (FPT_RVM)
10.11. Разделение домена (FPT_SEP)
10.12. Протокол синхронизации состояний (FPT_SSP)
10.13. Метки времени (FPT_STM)
10.14. Согласованность данных ФБО между ФБО (FPT_TDC)
10.15. Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)
10.16. Самотестирование ФБО (FPT_TST)

11. Класс FRU. Использование ресурсов

11.2. Приоритет обслуживания (FRU_PRS)
11.3. Распределение ресурсов (FRU_RSA)

12. Класс FTA. Доступ к ОО

12.1. Ограничение области выбираемых атрибутов (FTA_LSA)
12.2. Ограничение на параллельные сеансы (FTA_MCS)
12.3. Блокирование сеанса (FTA_SSL)
12.4. Предупреждения перед предоставлением доступа к ОО (FTA_TAB)
12.5. История доступа к ОО (FTA_TAH)
12.6. Открытие сеанса с ОО (FTA_TSE)

13. Класс FTP. Доверенный маршрут/канал

13.1. Доверенный канал передачи между ФБО (FTP_ITC)
13.2. Доверенный маршрут (FTP_TRP)

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А. ЗАМЕЧАНИЯ ПО ПРИМЕНЕНИЮ ФУНКЦИОНАЛЬНЫХ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ

А.1. Структура замечаний

ПРИЛОЖЕНИЕ Б. ФУНКЦИОНАЛЬНЫЕ КЛАССЫ, СЕМЕЙСТВА И КОМПОНЕНТЫ

ПРИЛОЖЕНИЕ В. АУДИТ БЕЗОПАСНОСТИ (FAU)

В.1. Автоматическая реакция аудита безопасности (FAU_ARP)
В.2. Генерация данных аудита безопасности (FAU_GEN)
В.3. Анализ аудита безопасности (FAU_SAA)
В.4. Просмотр аудита безопасности (FAU_SAR)
В.5. Выбор событий аудита безопасности (FAU_SEL)
В.6. Хранение данных аудита безопасности (FAU_STG)

ПРИЛОЖЕНИЕ Г. СВЯЗЬ (FCO)

Г.1. Неотказуемость отправления (FCO_NRO)
Г.2. Неотказуемость получения (FCO_NRR)

ПРИЛОЖЕНИЕ Д. КРИПТОГРАФИЧЕСКАЯ ПОДДЕРЖКА (FCS)

Д.1. Управление криптографическими ключами (FCS_CKM)
Д.2. Криптографические операции (FCS_COP)

ПРИЛОЖЕНИЕ Е. ЗАЩИТА ДАННЫХ ПОЛЬЗОВАТЕЛЯ (FDP)

Е.1. Политика управления доступом (FDP_ACC)
Е.2. Функции управления доступом (FDP_ACF)
Е.3. Аутентификация данных (FDP_DAU)
Е.4. Экспорт данных за пределы действия ФБО (FDP_ETC)
Е.5. Политика управления информационными потоками (FDP_IFC)
Е.6. Функции управления информационными потоками (FDP_IFF)
Е.7. Импорт данных из-за пределов действия ФБО (FDP_ITC)
Е.8. Передача в пределах ОО (FDP_ITT)
Е.9. Защита остаточной информации (FDP_RIP)
Е.10. Откат (FDP_ROL)
Е.11. Целостность хранимых данных (FDP_SDI)
Е.12. Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT)
Е.13. Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

ПРИЛОЖЕНИЕ Ж. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ (FIA)

Ж.1. Отказы аутентификации (FIA_AFL)
Ж.2. Определение атрибутов пользователя (FIA_ATD)
Ж.3. Спецификация секретов (FIA_SOS)
Ж.4. Аутентификация пользователя (FIA_UAU)
Ж.5. Идентификация пользователя (FIA_UID)
Ж.6. Связывание пользователь - субъект (FIA_USB)

ПРИЛОЖЕНИЕ И. УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ (FMT)

И.1. Управление отдельными функциями ФБО (FMT_MOF)
И.2. Управление атрибутами безопасности (FMT_MSA)
И.3. Управление данными ФБО (FMT_MTD)
И.4. Отмена (FMT_REV)
И.5. Срок действия атрибутов безопасности (FMT_SAE)
И.6. Роли управления безопасностью (FMT_SMR)

ПРИЛОЖЕНИЕ К. ПРИВАТНОСТЬ (FPR)

К.1. Анонимность (FPR_ANO)
К.2. Псевдонимность (FPR_PSE)
К.3. Невозможность ассоциации (FPR_UNL)
К.4. Скрытность (FPR_UNO)

ПРИЛОЖЕНИЕ Л. ЗАЩИТА ФБО (FPT)

Л.1. Тестирование базовой абстрактной машины (FPT_AMT)
Л.2. Безопасность при сбое (FPT_FLS)
Л.3. Доступность экспортируемых данных ФБО (FPT_ITA)
Л.4. Конфиденциальность экспортируемых данных ФБО (FPT_ITC)
Л.5. Целостность экспортируемых данных ФБО (FPT_ITI)
Л.6. Передача данных ФБО в пределах ОО (FPT_ITT)
Л.7. Физическая защита ФБО (FPT_PHP)
Л.8. Надежное восстановление (FPT_RCV)
Л.9. Обнаружение повторного использования (FPT_RPL)
Л.10. Посредничество при обращениях (FPT_RVM)
Л.11. Разделение домена (FPT_SEP)
Л.12. Протокол синхронизации состояний (FPT_SSP)
Л.13. Метки времени (FPT_STM)
Л.14. Согласованность данных ФБО между ФБО (FPT_TDC)
Л.15. Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)
Л.16. Самотестирование ФБО (FPT_TST)

ПРИЛОЖЕНИЕ М. ИСПОЛЬЗОВАНИЕ РЕСУРСОВ (FRU)

М.1. Отказоустойчивость (FRU_FLT)
М.2. Приоритет обслуживания (FRU_PRS)
М.3. Распределение ресурсов (FRU_RSA)

ПРИЛОЖЕНИЕ Н. ДОСТУП К ОО (FTA)

Н.1. Ограничение области выбираемых атрибутов (FTA_LSA)
Н.2. Ограничение на параллельные сеансы (FTA_MCS)
Н.3. Блокирование сеанса (FTA_SSL)
Н.4. Предупреждения перед предоставлением доступа к ОО (FTA_TAB)
Н.5. История доступа к ОО (FTA_TAH)
Н.6. Открытие сеанса с ОО (FTA_TSE)

ПРИЛОЖЕНИЕ П. ДОВЕРЕННЫЙ МАРШРУТ/КАНАЛ (FTP)

П.1. Доверенный канал передачи между ФБО (FTP_ITC)
П.2. Доверенный маршрут (FTP_TRP)

Часть 3. Требования доверия к безопасности

1. Область применения

1.1 Структура
1.2 Парадигма доверия

2. Требования доверия к безопасности

2.1 Структуры
2.2 Классификация компонентов
2.3 Структура класса критериев оценки профиля защиты и задания по безопасности
2.4 Использование терминов в части 3 ОК
2.5 Классификация доверия
2.6 Краткий обзор классов и семейств доверия
2.7 Классификация поддержки
2.8 Краткий обзор класса и семейств поддержки доверия

3. Критерии оценки профиля защиты и задания по безопасности

3.1 Краткий обзор
3.2 Краткий обзор критериев профиля защиты
3.3 Краткий обзор критериев задания по безопасности

4 Класс APE. Оценка профиля защиты

4.1 Описание ОО (APE_DES)
4.2 Среда безопасности (APE_ENV)
4.3 Введение ПЗ (APE_INT)
4.4 Цели безопасности (APE_OBJ)
4.5 Требования безопасности ИТ (APE_REQ)
4.6 Требования безопасности ИТ, сформулированные в явном виде (APE_SRE)

5. Класс ASE. Оценка задания по безопасности

5.1 Описание ОО (ASE_DES)
5.2 Среда безопасности (ASE_ENV)
5.3 Введение ЗБ (ASE_INT)
5.4 Цели безопасности (ASE_OBJ)
5.5 Утверждения о соответствии ПЗ (ASE_PPC)
5.6 Требования безопасности ИТ (ASE_REQ)
5.7 Требования безопасности ИТ, сформулированные в явном виде (ASE_SRE)
5.8 Краткая спецификация ОО (ASE_TSS)

6. Оценочные уровни доверия

6.1 Краткий обзор оценочных уровней доверия (ОУД)
6.2 Детализация оценочных уровней доверия

7. Классы, семейства и компоненты доверия

8. Класс ACM. Управление конфигурацией

8.1 Автоматизация УК (ACM_AUT)
8.2 Возможности УК (ACM_CAP)
8.3 Область УК (ACM_SCP)

9. Класс ADO. Поставка и эксплуатация

9.1 Поставка (ADO_DEL)
9.2 Установка, генерация и запуск (ADO_IGS)

10. Класс ADV. Разработка

10.1 Функциональная спецификация (ADV_FSP)
10.2 Проект верхнего уровня (ADV_HLD)
10.3 Представление реализации (ADV_IMP)
10.4 Внутренняя структура ФБО (ADV_INT)
10.5 Проект нижнего уровня (ADV_LLD)
10.6 Соответствие представлений (ADV_RCR)
10.7 Моделирование политики безопасности (ADV_SPM)

11. Класс AGD. Руководства

11.1 Руководство администратора (AGD_ADM)
11.2 Руководство пользователя (AGD_USR)

12. Класс ALC. Поддержка жизненного цикла

12.1 Безопасность разработки (ALC_DVS)
12.2 Устранение недостатков (ALC_FLR)
12.3 Определение жизненного цикла (ALC_LCD)
12.4 Инструментальные средства и методы (ALC_TAT)

13. Класс ATE. Тестирование

13.1 Покрытие (ATE_COV)
13.2 Глубина (ATE_DPT)
13.3 Функциональное тестирование (ATE_FUN)
13.4 Независимое тестирование (ATE_IND)

14. Класс AVA. Оценка уязвимостей

14.1 Анализ скрытых каналов (AVA_CCA)
14.2 Неправильное применение (AVA_MSU)
14.3 Стойкость функций безопасности ОО (AVA_SOF)
14.4 Анализ уязвимостей (AVA_VLA)

15. Парадигма поддержки доверия

15.1 Введение
15.2 Цикл поддержки доверия
15.3 Класс и семейства поддержки доверия

16. Класс AMA. Поддержка доверия

16.1 План поддержки доверия (AMA_AMP)
16.2 Отчет о категорировании компонентов ОО (AMA_CAT)
16.3 Свидетельство поддержки доверия (AMA_EVD)
16.4 Анализ влияния на безопасность (AMA_SIA)

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А. ПЕРЕКРЕСТНЫЕ ССЫЛКИ МЕЖДУ КОМПОНЕНТАМИ ДОВЕРИЯ

ПРИЛОЖЕНИЕ Б. ПЕРЕКРЕСТНЫЕ ССЫЛКИ ОУД И КОМПОНЕНТОВ ДОВЕРИЯ

    
 
 

Введен в действие
Приказом
Гостехкомиссии России
от 19 июня 2002 г. N 187

 

РУКОВОДЯЩИЙ ДОКУМЕНТ.
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

 

Общие положения

 
    Настоящий руководящий документ (РД) содержит систематизированный каталог требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.
    Руководящий документ разработан в развитие РД Гостехкомиссии России по защите информации от несанкционированного доступа и соответствует ГОСТ Р ИСО/МЭК 15408 - 2002 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий", далее по тексту РД - Общие критерии (ОК).
    Разработка настоящего руководящего документа направлена на обеспечение практического использования ГОСТ Р ИСО/МЭК 15408-2002 в деятельности заказчиков, разработчиков и пользователей продуктов и систем ИТ при формировании ими требований, разработке, приобретении и применении продуктов и систем информационных технологий, предназначенных для обработки, хранения или передачи информации, подлежащей защите в соответствии с требованиями нормативных правовых документов или требованиями, устанавливаемыми собственником информации. Руководящий документ предназначен также для органов сертификации и испытательных лабораторий, аккредитованных в системе сертификации средств защиты информации по требованиям безопасности информации N РОСС RU.0001.01БИ00 (Гостехкомиссии России), для использования при проведении оценки и сертификации безопасности ИТ.