ГОСТ Р ИСО/МЭК ТО 19791 — 2008
местным самоуправлениям, а также организациям частного сектора, составляющим критически
важную инфраструктуру США. Предполагается их замена федеральным стандартом по обработке
информации США. FIPS Publication 200. Меры минимальной безопасности федеральных информацион
ных систем. НИСТ СП 800-53 [9] использует не только определение мер обеспечения безопасности по
ИСО/МЭК17799 [8]. но также охватываетдругие области, не связанные непосредственно с менеджментом
информационной безопасности.
Следовательно. НИСТ СП 800-53 (9] использовался как второй основной источникдля организацион
ных мер безопасности, особенно в областях организационной безопасности, которые находятся вне облас
ти применения ИСО/МЭК 17799 [8].
В стандартах серии ИСО/МЭК 13335 [1]. [2]. [3]. [4) также используются требования к мерам обеспе
чения безопасности. Однако в них меры обеспечения безопасности задействованы на слишком высоком
уровне, чтобы применяться в качестве источника конкретных требований к организационным мерам безо
пасности.
7.4 Взаимосвязь с разработкой Общих критериев
Общие критерии являются стандартом, в техническом отношении идентичным стандартам серии
ИСО/МЭК 15408. опубликованным Советом по разработке Общих критериев, ассоциации национальных
проектов по оценке и сертификации. Версия 2.3 Общих критериев является эквивалентом ИСО/МЭК
15408:2005. который послужил основой для разработки настоящего стандарта.
В данное время Совет по разработке Общих критериев разрабатывает новую версию Общих критери
ев под названием «Версия 3». Став установившейся, эта версия, по-видимому, будет использоваться в
качестве основы для будущего пересмотра стандартов серии ИСО/МЭК 15408. Самым последним проек
том на момент подготовки настоящего стандарта была Версия 3.0 [14]. Данная версия была издана только
для комментариев, т.е.. в качестве рабочего проекта ИСО/МЭК.
Хотя Версия 3.0 [14] предназначена только для комментариев, она включает в себя существенные
разработки технологии оценки, основанные на практическом применении Общих критериев и стандартов
серии ИСО/МЭК 15408. Таким образом, значительные изменения, внесенные в эту новую версию Общих
критериев, и оценка их потенциального влияния на требования настоящего стандарта рассматриваются в
приложении D.
8 Оценка автоматизированных систем
8.1 Введение
Автоматизированные системы должны оцениваться с использованием общей модели оценки, опре
деленной в ИСО/МЭК 15408-1. с расширениями (дополнениями), определенными в настоящем разделе.
8.2 Роли оценки и обязанности
Существуют виды деятельности, необходимые для оценки автоматизированной системы. Ими
являются:
- разработка свидетельств оценки (включающих в себя оценку рисков, спецификацию ЗБС. свиде
тельства разработки и интеграции, эксплуатации, модификации):
-оценка (включая сертификацию результатов оценки);
-аттестация.
Для каждого из перечисленных видовдеятельности должен быть назначен соответствующий персо
нал, его полномочия должны быть согласованы и необходимые задачи должны быть выполнены. Эти виды
деятельности и связанные с ними роли и обязанности персонала представлены в таблице 1.
Действия, необходимые всоответствии с требованиями настоящего стандарта, должны легко
сопоставляться с роля ми и обязанностями, определенными вданной таблице. Все действия следует также
сопоставлять с разде лами СЗБ. идентифицированными втаблице 1.
Т а б л и ц а 1— Роли и обязанности по оценке автоматизированных систем
Вид деятельностиРольОбязанностьРазделы ЗБС
Разработка свиде
тельств для оценки
Высший менедж
мент
Общая ответственность за безопасность. Не определено
Определяет приемлемые риски.
Санкционирует действия уполномочен
ных должностных лиц
22