Ленты новостей RSS
Главные новости Главные новости
Новости законодательства Новости законодательства
Лента новостей Лента новостей
Судебная практика Судебная практика
Обзор законодательства Обзор законодательства
Письма Минфина Письма Минфина
Обзор изменений Обзор изменений
Используйте наши ленты новостей и Вы всегда будете в курсе событий. Достаточно установить любое RSS расширение для браузера, например RSS Feed Reader
Если что-то не нашли
Присоединяйтесь!
Зарегистрированных пользователей портала: 504 754. Присоединяйтесь к нам, зарегистрироваться очень просто →
Оглавление

РУКОВОДЯЩИЙ ДОКУМЕНТ РУКОВОДСТВО ПО РАЗРАБОТКЕ ПРОФИЛЕЙ ЗАЩИТЫ И ЗАДАНИЙ ПО БЕЗОПАСНОСТИ

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Сокращения

5. Общие положения

5.1 Введение в профили защиты и задания по безопасности

5.2 Краткий обзор руководства

6. Краткий обзор профилей защиты и заданий безопасности

6.1 Профиль защиты

6.2 Задание по безопасности

6.3 Взаимосвязь между профилями защиты и заданиями по безопасности

6.4 Учет информационных потребностей потенциальных пользователей профилей защиты и заданий по безопасности

6.5 Процесс разработки ПЗ и ЗБ

6.6 Семейства профилей защиты

7. Описательные разделы профилей защиты и заданий по безопасности

7.1 Описательные части профиля защиты

7.1.1 Раздел "Введение ПЗ"
7.1.2 Раздел "Описание ОО"
7.1.3 Раздел "Замечания по применению"

7.2 Описательные части задания по безопасности

7.2.1 Раздел "Введение ЗБ"
7.2.2 Раздел "Описание ОО"

8. Среда безопасности ОО

8.1 Идентификация и спецификация предположений безопасности

8.2 Идентификация и спецификация угроз

8.2.1 Идентификация угроз
8.2.2 Спецификация угроз
8.2.3 Окончательное формулирование угроз

8.3 Идентификация и спецификация политики безопасности организации

9. Цели безопасности

9.1 Спецификация целей безопасности для ОО

9.2 Спецификация целей безопасности для среды ОО

10. Требования безопасности ИТ

10.1 Спецификация функциональных требований безопасности в профиле защиты

10.1.1 Выбор функциональных требований безопасности
10.1.2 Выполнение операций над функциональными требованиями безопасности
10.1.3 Спецификация требований аудита
10.1.4 Спецификация требований управления
10.1.5 Спецификация в ПЗ функциональных требований, не изложенных в части 2 ОК
10.1.6 Представление функциональных требований безопасности

10.2 Спецификация в ПЗ требований доверия к безопасности

10.2.1 Выбор требований доверия к безопасности
10.2.2 Выполнение операций над требованиями доверия к безопасности
10.2.3 Спецификация в профиле защиты требований доверия к безопасности, не включенных в Стандарт

10.3 Спецификация требований безопасности в ЗБ

10.3.1 Спецификация функциональных требований, приведенных в ПЗ
10.3.2 Спецификация функциональных требований, отсутствующих в ПЗ
10.3.3 Спецификация в задании по безопасности функциональных требований, не включенных в Стандарт
10.3.4 Спецификация в задании по безопасности требований доверия к безопасности

10.4 Требования безопасности для среды

10.4.1 Требования безопасности для ИТ-среды
10.4.2 Требования безопасности для не-ИТ-среды

11. Краткая спецификация объекта оценки

11.1 Спецификация функций безопасности информационных технологий

11.2 Спецификация механизмов безопасности

11.3 Спецификация мер доверия к безопасности

12. Обоснование ПЗ

12.1 Представление в профиле защиты логического обоснования целей безопасности

12.2 Формирование логического обоснования требований безопасности в профиле защиты

12.2.1 Демонстрация пригодности требований безопасности
12.2.2 Демонстрация пригодности требований доверия к безопасности
12.2.3 Обоснование требований к стойкости функций безопасности
12.2.4 Демонстрация взаимной поддержки требований безопасности

13. Обоснование ЗБ

13.1 Представление логического обоснования целей безопасности в задании по безопасности

13.2 Представление логического обоснования требований безопасности в задании по безопасности

13.2.1 Демонстрация пригодности требований доверия к безопасности
13.2.2 Демонстрация приемлемости требований к стойкости функций безопасности
13.2.3 Демонстрация удовлетворения зависимостей требований доверия к безопасности
13.2.4 Демонстрация взаимной поддержки требований
13.2.5 Демонстрация соответствия задания по безопасности профилям защиты
13.2.6 Демонстрация того, что функции безопасности удовлетворяют функциональным требованиям безопасности
13.2.7 Демонстрация взаимной поддержки функций безопасности
13.2.8 Демонстрация соответствия мер доверия к безопасности требованиям доверия к безопасности

14. Профили защиты и задания по безопасности для составных ОО и ОО, входящих в состав других ОО

14.1 Составной объект оценки

14.1.1 Описательные части профиля защиты и задания по безопасности
14.1.2 Среда безопасности ОО
14.1.3 Цели безопасности
14.1.4 Требования безопасности
14.1.5 Краткая спецификация ОО
14.1.6 Обоснование ПЗ
14.1.7 Обоснование ЗБ

14.2 ОО-компонент

14.2.1 Описательные части ПЗ и ЗБ
14.2.2 Среда безопасности ОО
14.2.3 Цели безопасности
14.2.4 Требования безопасности
14.2.5 Краткая спецификация ОО
14.2.6 Обоснование ПЗ
14.2.7 Обоснование ЗБ

15. Функциональные пакеты и пакеты требований доверия к безопасности

15.1 Формирование функционального пакета

15.1.1 Разработчики функциональных пакетов
15.1.2 Содержимое функционального пакета

15.2 Спецификация пакета требований доверия к безопасности

15.2.1 Разработчики пакетов требований доверия к безопасности
15.2.2 Содержание пакета требований доверия к безопасности

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ 1. РЕЗЮМЕ

П1.1. Введение ПЗ/ЗБ

П1.2. Описание ОО

П1.3. Среда безопасности ОО

П1.3.1. Предположения безопасности
П1.3.2. Угрозы
П1.3.3. Политика безопасности организации

П1.4. Цели безопасности

П1.5. Требования безопасности ИТ

П1.5.1. Функциональные требования безопасности ОО
П1.5.2. Требования доверия к безопасности ОО
П1.5.3. Требования безопасности для ИТ-среды

П1.6. Краткая спецификация ОО (только для ЗБ)

П1.6.1. Функции безопасности ОО
П1.6.2. Меры доверия к безопасности

П1.7. Обоснование ПЗ

П1.7.1. Логическое обоснование целей безопасности
П1.7.2. Логическое обоснование требований безопасности

П1.8. Обоснование ЗБ

П1.8.1. Логическое обоснование целей и требований безопасности
П1.8.2. Логическое обоснование краткой спецификации ОО

ПРИЛОЖЕНИЕ 2. ПРИМЕРЫ УГРОЗ, ПОЛИТИКИ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ, ПРЕДПОЛОЖЕНИЙ БЕЗОПАСНОСТИ, ЦЕЛЕЙ БЕЗОПАСНОСТИ, ТРЕБОВАНИЙ БЕЗОПАСНОСТИ

П2.1. Примеры угроз

П2.2. Примеры политики безопасности организации

П2.3. Примеры предположений безопасности

П2.3.1. Примеры предположений, связанных с физической защитой
П2.3.2. Примеры предположений, связанных с персоналом
П2.3.3. Примеры предположений, имеющих отношение к связности

П2.4. Примеры целей безопасности для ОО

П2.5. Примеры целей безопасности для среды

П2.6. Пример демонстрации соответствия целей безопасности и угроз

П2.7. Примеры функциональных требований безопасности

П2.7.1. Требования идентификации и аутентификации
П2.7.2. Требования управления доступом
П2.7.3. Требования аудита
П2.7.4. Требования целостности
П2.7.5. Требования доступности
П2.7.6. Требования приватности
П2.7.7. Требования обмена данными

ПРИЛОЖЕНИЕ 3. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ФОРМИРОВАНИЮ ПРОФИЛЯ ЗАЩИТЫ МЕЖСЕТЕВОГО ЭКРАНА

П3.1. Введение ПЗ

П3.2. Описание ОО

П3.3. Среда безопасности ОО

П3.3.1. Предположения безопасности
П3.3.2. Угрозы
П3.3.3. Политика безопасности организации

П3.4. Цели безопасности

П3.4.1. Цели безопасности для ОО
П3.4.2. Цели безопасности для среды

П3.5. Требования безопасности ИТ

П3.5.1. Функциональные требования безопасности
П3.5.2. Требования доверия к безопасности ОО
П3.5.3. Требования безопасности для ИТ-среды

П3.6. Краткая спецификация ОО

П3.6.1. Функции безопасности ОО

П3.7. Обоснование ПЗ

П3.7.1. Обоснование целей безопасности
П3.7.2. Обоснование функциональных требований безопасности
П3.7.3. Обоснование требований доверия к безопасности

П4.1. Введение ПЗ

П4.2. Среда безопасности объекта оценки

П4.2.1. Предположения безопасности
П4.2.2. Угрозы
П4.2.3. Политика безопасности организации

П4.3. Цели безопасности

П4.3.1. Цели безопасности для ОО

П4.4. Требования безопасности ИТ

П4.4.1 Функциональные требования безопасности
П4.4.2. Требования доверия к безопасности ОО
П4.4.3. Требования безопасности для ИТ-среды

П4.5. Обоснование ПЗ

П4.5.1. Обоснование целей безопасности
П4.5.2. Обоснование функциональных требований безопасности
П4.5.3. Обоснование требований доверия к безопасности

ПРИЛОЖЕНИЕ 5. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ФОРМИРОВАНИЮ ПРОФИЛЯ ЗАЩИТЫ ДОВЕРЕННОГО ЦЕНТРА ИНФРАСТРУКТУРЫ ОТКРЫТЫХ КЛЮЧЕЙ

П5.1. Введение ПЗ

П5.2. Среда безопасности объекта оценки

П5.2.1. Предположения безопасности
П5.2.2. Угрозы
П5.2.3. Политика безопасности организации

П5.3. Цели безопасности

П5.3.1. Цели безопасности для ОО
П5.3.2. Цели безопасности для среды

П5.4. Требования безопасности ИТ

П5.4.1. Функциональные требования безопасности ОО
П5.4.2. Требования доверия к безопасности ОО
П5.4.3. Требования безопасности для ИТ-среды

П5.5. Обоснование ПЗ

П5.5.1. Обоснование целей безопасности
П5.5.2. Обоснование функциональных требований безопасности
П5.5.3. Обоснование требований доверия к безопасности

    
 

РУКОВОДЯЩИЙ ДОКУМЕНТ РУКОВОДСТВО ПО РАЗРАБОТКЕ ПРОФИЛЕЙ ЗАЩИТЫ И ЗАДАНИЙ ПО БЕЗОПАСНОСТИ

 

Гостехкомиссия России, 2003 год

 

1. Область применения

 
    Настоящий документ (далее - Руководство) представляет собой руководство по разработке профилей защиты и заданий по безопасности продуктов и систем (изделий) ИТ в соответствии с Руководящим документом Гостехкомиссии России "Критерии оценки безопасности информационных технологий", далее по тексту - ОК.
    Руководство предназначено для разработчиков и оценщиков ПЗ и ЗБ, а также может представлять интерес для пользователей ПЗ и ЗБ, позволяя им понять, чем руководствовались авторы ПЗ и/или ЗБ при их разработке, и на какие части ПЗ и/или ЗБ следует обратить особое внимание.
 

2. Нормативные ссылки

 
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель, Гостехкомиссия России, 2002.
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 2: Функциональные требования безопасности, Гостехкомиссия России, 2002.
    Руководящий документ - Безопасность информационных технологий - Критерии оценки безопасности информационных технологий - Часть 3: Требования доверия к безопасности, Гостехкомиссия России, 2002.
 

3. Термины и определения

 
    3.1 Активы: Информация или ресурсы, подлежащие защите с применением изделия ИТ
    3.2 Доверие: Основание для уверенности в том, что изделие ИТ отвечает своим целям безопасности
    3.3 Задание по безопасности: Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки безопасности конкретного изделия ИТ
    3.4 Изделие ИТ: Обобщенный термин для продуктов и систем ИТ
    3.5 Информационная технология: Приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации