ГОСТ Р ИСО/МЭКТО 15446 — 2008
Введение
Предназначение профиля защиты (ПЗ) состоит в том. чтобы изложить проблему безопасности для
определенной совокупности систем или продуктов информационных технологий (ИТ), далее — «объекты
оценки» (ОО). и сформулировать требования безопасности для решения данной проблемы. При этом ПЗ не
регламентирует то. как данные требования будут выполнены, обеспечивая таким образом независимое от
реализации описание требований безопасности.
Профиль защиты включает в себя взаимосвязанную информацию, имеющую отношение к безопасно
сти ИТ. в том числе:
a) формулировку потребности в безопасности, соответствующую проблеме безопасности и выражен
ную в терминах, ориентированных на пользователей ИТ;
b
) описание среды безопасности ОО. уточняющее формулировку потребности в безопасности с уче
том порождаемых средой угроз, которым нужно противостоять, политики безопасности организации, кото
рая должна выполняться, и сделанных предположений;
c) цели безопасности ОО. основанные на описании среды безопасности и предоставляющие инфор
мацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности.
Предназначение целей безопасности заключается в том. чтобы снизить риск и обеспечить поддержание
политики безопасности организации, в интересах которой ведется разработка ПЗ;
d) функциональные требования безопасности и требования доверия кбезопасности, направленные на
решение проблемы безопасности в соответствии с описанием среды безопасности ОО и целями безопасно
стидля ОО и ИТ-среды. Функциональные требования безопасности выражают то. чтодолжно выполняться
ОО и ИТ-средой для удовлетворения целей безопасности. Требования доверия к безопасности определяют
степеньуверенности в правильности реализации функций безопасности ОО:
e) обоснование функциональных требований и требованийдоверия кбезопасности, являющихся над
лежащими для удовлетворения сформулированной потребности в безопасности. Посредством целей безо
пасности должно быть показано, что необходимо сделатьдля решения проблем безопасности, имеющихся в
описании среды безопасности ОО. Функциональные требования безопасности и требованиядоверия к
безопасностидолжны соответствовать целям безопасности.
Задание по безопасности (ЗБ) во многом похоже на ПЗ, но содержит дополнительную информацию,
ориентированную на конкретную реализацию продукта или системы ИТ и разъясняющую, каким образом
требования ПЗ реализуются в конкретном продукте или системе. ЗБ содержит следующую дополнитель
ную информацию, отсутствующую в ПЗ:
a) краткую спецификацию ОО. которая представляет функции безопасности и меры доверия кбезо
пасности для конкретного ОО:
b
) дополнительный раздел, который включается в ЗБ в случаях, если утверждается о соответствии
ЗБ одному или более ПЗ:
c) дополнительные свидетельства в разделе «Обоснование», устанавливающие, что краткая специ
фикация ОО обеспечивает соответствие требований безопасности, а любые утверждения о соответствии
ПЗ— действительны.
Профильзащиты может использоваться для определения типового набора требований безопасности,
которым должны соответствоватьодин или более продуктов или которымдолжны соответствовать системы
ИТ. предназначенные для использования в определенных целях. Профиль защиты может применяться к
определенному виду продуктов (например, операционным системам, системам управления базами дан
ных. смарт-картам, межсетевым экранам и т.д.) или к совокупности продуктов, образующих систему (на
пример. к инфраструктуре открытых ключей, виртуальным частным сетям).
Поставщики продукта ИТ в соответствии с потребностями безопасности, сформулированными в ПЗ.
могут разработать ЗБ. которое будет демонстрировать то. как их продукт ИТ соответствует потребностям
безопасности. Тем не менее, соответствие задания по безопасности профилю защиты не является обяза
тельным; например, в ЗБ могут быть определены функции безопасности, заявляемые разработчиком про
дукта ИТ и представляющие собой основудля оценки продукта ИТ.
Также в ПЗ могут быть определены требования безопасности для конкретной системы ИТ. В этом
случае ЗБ разрабатывается на основе ПЗ. Таким образом. ПЗ и ЗБ могут использоваться как средства
взаимодействия между организацией, осуществляющей руководство разработкой системы, организацией,
заинтересованной в этойсистеме, и организацией, ответственной засоздание системы (далее— разработ
чик). Содержание ПЗ и ЗБ может быть согласовано между данными сторонами. Оценка конкретной систе
мы ИТ на соответствие ЗБ. которое в свою очередь соответствует ПЗ. может являться частью процесса
приемки системы ИТ.
V