ГОСТ Р ИСО/МЭК 15408-1-2002 конструкции для выражения целей безопасности ИТ, выбора и определения требований безопасности ИТ и написания высокоуровневых спецификаций для продуктов и систем. Кроме того, в этой части указано, в чем заключается полезность каждой из частей ОК применительно к каждой из основных групп пользователей ОК.
б) Часть 2 «Функциональные требования безопасности» устанавливает совокупность функциональных компонентов как стандартный способ выражения функциональных требований к ОО. Содержит каталог всех функциональных компонентов, семейств и классов.
в) Часть 3 «Требования доверия к безопасности» устанавливает совокупность компонентов доверия как стандартный способ выражения требований доверия к ОО. Содержит каталог всех компонентов, семейств и классов доверия. Кроме того, в этой части определены критерии оценки профилей защиты и заданий по безопасности и представлены оценочные уровни доверия (ОУД), которые определяют предопределенную ОК шкалу ранжирования доверия к ОО.
Предполагается, что в поддержку частей ОК, перечисленных выше, будут опубликованы и документы других типов, включая нормативно-методические материалы и руководства.
В таблице 3.1 показано, в каком качестве различные части ОК будут представлять интерес для каждой из трех основных групп пользователей ОК.
|
Таблица 3.1 — Путеводитель по Общим критериям |
|
Часть ОК |
Потребитель |
Разработчик |
Оценщик |
|
Часть 1 |
Общие сведения по применению. Руководство по структуре профилей защиты |
Общие сведения и справочное руководство по разработке требований и формулированию спецификаций безопасности
для объектов оценки |
Общие сведения по применению. Руководство по
структуре профилей защиты и заданий по безопасности |
|
Часть 2 |
Руководство и справочник при формулировании требований к функциям безопасности |
Справочник по интерпретации функциональных требований и формулированию функциональных спецификаций для объектов оценки |
Обязательное изложение
критериев оценки, используемых при определении эффективности выполнения
объектом оценки заявленных функций безопасности |
|
Часть 3 |
Руководство по определению требуемого уровня доверия |
Справочник по интерпретации требований доверия и определению подходов к установлению доверия к объектам оценки |
Обязательное изложение
критериев оценки, используемых при определении доверия к объектам оценки и оценке профилей защиты и заданий по безопасности |
|
4 Общая модель
В этом разделе представлены общие понятия, используемые во всех частях ОК, включая контекст использования этих понятий, и подход ОК к их применению. Части 2 и 3 ОК развивают эти понятия в рамках описанного подхода. Этот раздел предполагает наличие определенных знаний по безопасности ИТ и не предназначен для использования в качестве учебного пособия в этой области.
Безопасность обсуждается в ОК с использованием совокупности понятий безопасности и терминологии. Их понимание является предпосылкой эффективного использования ОК. Однако сами по себе эти понятия имеют самый общий характер и не должны ограничивать класс проблем безопасности ИТ, к которым применимы ОК.
4.1 Контекст безопасности
4.1.1 Общий контекст безопасности
Безопасность связана с защитой активов от угроз, где угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все разновидности угроз, но в сфере безопасности наибольшее внимание уделяется тем из них, которые связаны с действиями человека, злонамеренными или иными. Рисунок 4.1 иллюстрирует высокоуровневые понятия безопасности и их взаимосвязь.
8