Присоединяйтесь!
Зарегистрированных пользователей портала: 506 313. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ОСНОВЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. МЕТОДЫ ДОВЕРИЯ. ГОСТ Р 54582-2011" (утв. Приказом Росстандарта от 01.12.2011 N 690-ст)

Дата документа01.12.2011
Статус документаДействует
МеткиПриказ · Гост · Гост р · Стандарт

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Основы доверия к безопасности информационных технологий

 

Часть 2

 

Методы доверия

 

ISO/IEC TR 15443-2:2005
Information technology — Security techniques — A framework for IT security assurance — Part 2: Assurance methods (IDT)

 

ГОСТ Р 54582-2011

 

Дата введения 01.12.2012

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1. ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Центр безопасности" (ООО "ЦБИ") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4.
    2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 690-ст.
    3. Настоящий стандарт идентичен международному документу ISO/IEC ТR 15443-2:2005* "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия" (ISO/IEC TR 15443-2:2005 "Information technology - Security techniques - A framework for IT security assurance - Part 2: Assurance methods").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.
    4. ВВЕДЕН ВПЕРВЫЕ (Докипедия: ГОСТ Р 54582-2011/ISO/IEC/TR 15443-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия).
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

Введение

 
    В настоящем стандарте представлено описание методов обеспечения доверия и подходов, которые можно применить к безопасности информационных и коммуникационных технологий (ИКТ), предложенных или используемых различными типами организаций, независимо от того, утверждены ли они, одобрены неофициально или стандартизированы, а также их привязка к модели доверия по ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005. Акцент делается на идентификацию качественных характеристик методов, способствующих обеспечению доверия, и на их ранжирование. Настоящий стандарт предназначен для разъяснения специалистам в области безопасности ИКТ способов получения доверия на любом этапе жизненного цикла продукта или услуги.
    В настоящем стандарте также приводятся цель и описание методов обеспечения доверия, а также указывается их место в структуре, определенной в ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005.
    Считается, что методы обеспечения доверия, указанные в настоящем стандарте, содержат общеизвестные элементы. Могут появляться новые методы обеспечения доверия, а также модифицироваться и совершенствоваться уже существующие.
    Из настоящего стандарта разработчики, оценщики, менеджеры по качеству и покупатели могут выбирать методы обеспечения доверия к программному обеспечению и системам безопасности ИКТ, определяя требования доверия, оценивая продукты, измеряя аспекты безопасности и т.д. Кроме того, они могут использовать методы обеспечения доверия, не включенные в настоящий стандарт, которые применимы к методам обеспечения доверия в отношении аспектов безопасности, хотя многие из этих методов могут также применяться в интересах обеспечения доверия к другим критическим аспектам программного обеспечения и систем.
    Настоящий стандарт предназначен для совместного использования с ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005.
    В настоящем стандарте также проведен анализ методов обеспечения доверия, не уникальных для безопасности ИКТ; однако руководство, приведенное в настоящем стандарте, ограничено требованиями безопасности ИКТ. В него включены также термины и понятия, получившие определение в других инициативах международной стандартизации (например, CASCO) и международных справочниках (ИСО/МЭК Руководство 2); однако руководство, приведенное в настоящем стандарте, будет связано исключительно с областью безопасности ИКТ и не предназначено для общего менеджмента и оценки качества, а также согласованности ИКТ.
 

1. Область применения

 

1.1. Назначение

 
    В настоящем стандарте представлена совокупность методов обеспечения доверия, включая методы, не являющиеся уникальными для безопасности информационных и коммуникационных технологий (ИКТ), поскольку они способствуют обеспечению общей безопасности ИКТ. В настоящем стандарте приведен краткий обзор их назначения, описание, ссылки на документы и аспекты стандартизации.
    В принципе результирующее доверие к безопасности ИКТ является доверием к продукту, системе или предоставленной услуге. Следовательно, результирующее доверие является суммой приращений доверия, полученных каждым из методов обеспечения доверия, примененным к продукту, системе или услуге на стадиях их жизненных циклов. Большое количество методов делает необходимым создание руководства в отношении того, какой метод применять к данной области ИКТ для обеспечения общепризнанного доверия.
    Каждый элемент совокупности методов обеспечения доверия, представленной в настоящем стандарте, классифицируется в виде краткого обзора с помощью основных терминов и понятий о доверии, разработанных в ИСО/МЭК ТО 15443-1.
    Посредством такого распределения по категориям настоящий стандарт оказывает содействие специалисту по ИКТ при выборе и возможном комбинировании методов обеспечения доверия, соответствующих данному продукту безопасности ИКТ, системе или услуге и их специфичным средам.
 

1.2. Область применения

 
    Настоящий стандарт представляет собой руководство в сокращенном обзорном варианте. Его достаточно для формирования из представленной совокупности методов обеспечения доверия сокращенного набора методов, применимых продукту, системе или услуге.
    Краткое изложение применимых методов обеспечения доверия является информативным, представляющим основы для облегчения его понимания без обращения к первоисточникам.
    Предполагаемыми пользователями настоящего стандарта являются:
    1) покупатель (конкретное лицо или организация, приобретающая или покупающая систему, программный продукт или услугу у поставщика);
    2) оценщик (конкретное лицо или организация, проводящая оценку; оценщиком может быть испытательная лаборатория, отдел технического контроля организации, разрабатывающей программное обеспечение (ПО), государственная организация или пользователь);
    3) разработчик (конкретное лицо или организация, осуществляющая деятельность по разработке, включая анализ требований, проектирование и тестирование посредством приемки во время процесса жизненного цикла ПО);
    4) обслуживающее лицо (конкретное лицо или организация, осуществляющая деятельность по обслуживанию);
    5) поставщик (конкретное лицо или организация, заключающая договор с покупателем о поставке системы, программного продукта или услуги по программированию на условиях договора);
    6) пользователь (конкретное лицо или организация, применяющая программный продукт для выполнения специфичной функции) при оценке качества какого-либо программного продукта во время приемо-сдаточных испытаний;
    7) работник или отдел службы безопасности (конкретное лицо или организация, проводящая системную проверку программного продукта или услуг по программированию) при оценке качества ПО во время квалификационных испытаний.
 

1.3. Ограничения

 
    Настоящий стандарт представляет собой руководство в виде краткого обзора. ИСО/МЭК ТО 15443-3 определяет направления совершенствования этого выбора методов обеспечения безопасности в целях лучшей реализации требований доверия, делая возможным анализ их сравнительных и синергетических характеристик.
    Требования к инфраструктуре поддержки верификации подхода к обеспечению доверия и требования к персоналу проведения верификации в настоящем стандарте не рассматриваются.
 

2. Нормативные ссылки

 
    Для применения настоящего стандарта необходимы следующие ссылочные документальные источники. Для недатированных ссылок применяют последнее издание упомянутого ниже документа (включая опубликованные изменения).
    ИСО 9000 Системы менеджмента качества. Основные положения и словарь (ISO 9000, Quality management systems - Fundamentals and vocabulary)
    ИСО 9001 Системы менеджмента качества. Требования (ISO 9001, Quality management systems - Requirements)
    ИСО/МЭК 9126-1 <*> Программотехника. Качество продукта. Часть 1. Модель качества (ISO/IEC 9126-1, Software engineering - Product quality - Part 1: Quality model)
    


    <*> Заменен на ИСО/МЭК 25010-2011 "Проектирование систем и разработка программного обеспечения. Требования к качеству систем и программного обеспечения и их оценка (SQuaRE). Модели качества систем и программного обеспечения (ISO/IEC 25010 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models)".
 
    ИСО/МЭК 12207 <*> Информационная технология. Процессы жизненного цикла программного обеспечения (ISO/IEC 12207, Information technology - Software life cycle processes)
    
    <*> Заменен на ИСО/МЭК 12207 "Информационные технологии. Процессы жизненного цикла программного обеспечения" (ISO/IEC 12207, Systems and software engineering - Software life cycle processes).
 
    ИСО/МЭК 13335-1 <*> Информационная технология. Методы и средства обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и коммуникационных технологий (ISO/IEC 13335-1, information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management)
    
    <*> Отменен.
 
    ИСО/МЭК ТО 13335-2 <*> Информационная технология. Руководство по менеджменту безопасности информационных технологий. Часть 2. Планирование и менеджмент безопасности информационных технологий (ISO/IEC TR 13335-2, Information technology - Guidelines for the management of IT Security - Part 2: Managing and planning IT Security)
    
    <*> Отменен.
 
    ИСО/МЭК ТО 13335-3 <*> Информационная технология. Руководство по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасности информационных технологий (ISO/IEC TR 13335-3, Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security)
    
    <*> Заменен на ИСО/МЭК 27005 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (ISO/IEC 27005 Information technology - Security techniques - Information security risk management).
 
    ИСО/МЭК ТО 13335-4 <*> Информационная технология. Руководство по менеджменту безопасности информационных технологий. Часть 4. Выбор защитных мер (ISO/IEC TR 13335-4, Information technology - Guidelines for the management of IT Security - Part 4: Selection of safeguards)
    
    <*> Заменен на ИСО/МЭК 27005 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (ISO/IEC 27005 Information technology - Security techniques - Information security risk management).
 
    ИСО/МЭК ТО 13335-5 <*> Информационная технология. Руководство по менеджменту безопасности информационных технологий. Часть 5. Руководство по менеджменту безопасности сети (ISO/IEC TR 13335-5, Information technobgy - Guidelines for the management of IT Security - Part 5: Management guidance on network security)
    
    <*> Отменен.
 
    ИСО/МЭК ТО 14598-1 Информационная технология. Оценка программного продукта. Часть 1. Общий обзор (ISO/IEC 14598-1, Information technology - Software product evaluation - Part 1: General overview)
    ИСО/МЭК 15939 Технология программного обеспечения. Процесс измерения (ISO/IEC 15939, Software engineering - Software measurement process)
    ИСО/МЭК 15288 Системное проектирование. Процессы жизненного цикла систем (ISO/IEC 15288, Systems engineering - System life cycle processes)
    ИСО/МЭК 15408-1 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (ISO/EC15408-1, Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model)
    ИСО/МЭК 15408-2 <*> Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (ISO/EC 15408-2, Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements)
    
    <*> Заменен на ИСО/МЭК 15504-2 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (ISO/IEC 27005 Information technology - Security techniques - Information security risk management).
 
    ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (ISO/EC 15408-3, Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements)
    ИСО/МЭК 15504-1 Информационная технология. Оценка процессов. Часть 1. Концепции и словарь (ISO/EC 15504-1, Information technology - Process assessment - Part 1: Concepts and vocabulary)
    ИСО/МЭК 15504-2 Информационная технология. Оценка процессов. Часть 2. Проведение оценки (ISO/EC 15504-2, Information technology - Process assessment - Part 2: Performing and assessment)
    ИСО/МЭК 15504-3 Информационная технология. Оценка процессов. Часть 3. Руководство по проведению оценки (ISO/EC 15504-3, Information technology - Process assessment - Part 3: Guidance on performing an assessment)
    ИСО/МЭК 15504-4 Информационная технология. Оценка процессов. Часть 4. Руководство по использованию для усовершенствования и определения возможностей процесса (ISO/EC 15504-4, Information technology - Process assessment - Part 4: Guidance on use for process improvement and process capability determination)
    ИСО/МЭК 15504-5 Информационная технология. Оценка процессов программного обеспечения. Часть 5. Пример модели оценки и руководство по указателям (ISO/IEC TR 15504-5, Information technology - Software Process Assessment - Part 5: An assessment model and indicator guidance)
    ИСО/МЭК 17799 <*> Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью (ISO/EC 17799, Information technology - Security techniques - Code of practice for information security management)
    
    <*> Заменен на ИСО/МЭК 27002 Информационные технологии. Свод правил по управлению защитой информации. ((ISO/IEC Information technology - Security techniques - Code of practice for information security management).
 
    ИСО/МЭК 21827 Информационная технология. Проектирование безопасности работы систем. Модель технологической зрелости (SSE-CMM®) (ISO/EC 21827, Information technology - Systems Security Engineering - Capability Maturity Model (SSE-CMM®))
    ИСО/МЭК 90003 Техника программного обеспечения. Рекомендации по применению ИСО 9001:2000 к компьютерному программному обеспечению (ISO/EC 90003, Software engineering - Guidelines for the application of ISO 9001:2000 to computer software)
 

3. Термины, определения и сокращения

 
    В настоящем стандарте применены термины, определения и сокращения по ИСО/МЭК ТО 15443-1.
 

4. Краткий обзор и представление методов обеспечения доверия

 
    В ИСО/МЭК ТО 15443-1 представлена схема распределения по категориям существующих методов обеспечения доверия, перечислены и представлены существующие методы обеспечения доверия, представляющие интерес и непосредственно связанные с областью безопасности ИКТ. В настоящем разделе эти методы классифицируются по следующей схеме:
    - в соответствии с различными фазами доверия - описание аспектов жизненного цикла: проектирование, реализация, интеграция, верификация, ввод в действие, перемещение или эксплуатация;
    - в соответствии с различным подходом к обеспечению доверия: продукт, процесс или среда.
    В ИСО/МЭК ТО 15443-1 указано, что метод обеспечения доверия может включать в себя комбинацию подхода к доверию и фазы доверия.
    В качестве дополнительного руководства для пользователя в таблице 2 подраздела 5.4 настоящего стандарта представлено распределение по категориям:
    - со значимостью отдельных методов для безопасности ИКТ;
    - с актуальностью отдельных методов.
 

5. Фаза жизненного цикла доверия и условные обозначения

 
    В таблице 2 подраздела 5.4 настоящего стандарта перечислены представленные ниже методы, классифицированные в соответствии с фазой жизненного цикла. В названии каждого отдельного перечисления повторяется его классификация.
    Представляющие наибольший интерес фазы жизненного цикла представлены графически четырьмя столбцами таблицы. В соответствии с требованиями ИСО/МЭК 15288 и ИСО 9000 технологические процессы жизненного цикла сгруппированы в четыре стадии, по одной на каждый столбец, и сокращенно обозначены:
    - D (Design) - проектирование, включая процессы определения требований заинтересованных сторон, анализа требований, архитектурного проектирования и реализации;
    - I (Integration) - интеграция, включая процессы интеграции и верификации;
    - T (Transition) - переход, включая процессы дублирования, перемещения, ввода в действие и приемочные испытания;
    - О (Operation) - эксплуатация, включая процессы эксплуатации, обслуживания и ликвидации.
    Примечания
    1. Конкретный метод обеспечения доверия может охватывать какую-то фазу жизненного цикла только приблизительно. В этом случае эта фаза отсутствует в графическом представлении.
    2. Процессы жизненного цикла D-I-T-O применимы к любой конкретной системе ИКТ и ее компонентам, т.е. к аппаратным средствам и ПО. Разработка и улучшение процессов жизненного цикла являются вторым измерением, которое можно представить графически, но в настоящее время это измерение не представлено. В области безопасности ИКТ это измерение имеет особое значение из-за методов управления безопасностью, примененных к системам ИКТ на фазе функционирования в соответствии с ИСО/МЭК 17799 и ВS 7799-2. По существу разработка и улучшение процессов жизненного цикла включает в себя оценку и документирование, разработку, измерение, улучшение и сертификацию процессов. Это второе измерение является прямоугольным (ортогональным) по отношению к измерению D-I-T-O.
 

5.1. Подход к обеспечению доверия и условные обозначения

 
    В таблице 2 подраздела 5.4 настоящего стандарта перечислены представленные ниже методы, распределенные по категориям в соответствии с их подходом к обеспечению доверия. В названии каждого отдельного метода отражается его соответствие по категории.
    Категории методов обеспечения доверия наглядно представлены в таблице 1:
    - доверие к продукту: обозначено заглавной буквой названия фазы жизненного цикла между стрелками, например, D ;
    - доверие к процессу: обозначено заглавной буквой названия фазы жизненного цикла на темном фоне, например, D;
    - доверие к среде: обозначено заглавной буквой названия фазы жизненного цикла с полосками слева и справа, например, D .
 

Таблица 1

 

СТРУКТУРА МЕТОДОВ ОБЕСПЕЧЕНИЯ ДОВЕРИЯ - УСЛОВНЫЕ ОБОЗНАЧЕНИЯ

 
    
 
    Примечания
    1. Поскольку методы обеспечения доверия могут характеризовать комбинацию подходов, символы можно объединить, например, метод, обеспечивающий как доверие к процессу, так и доверие к среде, может быть представлен буквой на темном фоне с полосками слева и справа.
    2. Конкретный метод может охватывать более или менее полно один подход. Презентация в виде визуального обзора не годится для представления степени охвата различных подходов к обеспечению доверия данным методом.
    3. Конкретный метод обеспечения доверия может охватывать какой-то подход только приблизительно.