ГОСТ Р ИСО/МЭК 15408-1—2012
Введение
Настоящая часть ИСО/МЭК 15408 обеспечивает сопоставимость результатов независимых оце
нок безопасности. В ИСО/МЭК 15408 это достигается предоставлением единого набора требований
к функциональным возможностям безопасности продуктов ИТ и к мерам доверия, применяемым к этим
продуктам ИТ при оценке безопасности. Данные продукты ИТ могут быть реализованы в виде аппарат
ного, программно-аппаратного или программного обеспечения.
В процессе оценки достигается определенный уровень уверенности в том. что функциональные
возможности безопасности таких продуктов ИТ, а также меры доверия, предпринятые по отношению к
таким продуктам ИТ. отвечают предъявляемым требованиям. Результаты оценки могут помочь потре
бителям решить, отвечают ли продукты ИТ их потребностям в безопасности.
ИСО/МЭК 15408 (здесь и далее, если не указывается конкретная часть стандарта, то ссылка от
носится ко всем частям стандарта) полезен в качестве руководства при разработке, оценке и/или при
обретении продуктов ИТ с функциональными возможностями безопасности.
В ИСО/МЭК 15408 предусмотрена гибкость, допускающая применение множества методов оцен
ки по отношению к множеству свойств безопасности множества продуктов ИТ. Поэтому пользователи
настоящего стандарта должны исключить возможность неправильного использования указанной гиб
кости стандарта. Например, использование ИСО/МЭК 15408 в сочетании с неподходящими методами
оценки, неприменимыми свойствами безопасности или ненадлежащими продуктами ИТ может приве
сти к незначимым результатам оценки.
Следовательно, тот факт, что продукт ИТ был оценен, имеет значимость только в контексте
свойств безопасности, которые были оценены, и методов оценки, которые использовались. Органам
оценки рекомендуется тщательно проверить продукты, свойства и методы, чтобы сделать заключение,
что оценка обеспечивает значимые результаты. Кроме того, покупателям оцененных продуктов реко
мендуется тщательно рассмотреть этот контекст, чтобы сделать заключение, является ли оцененный
продукт соответствующим и применимым для их конкретной ситуации и потребностей.
ИСО/МЭК 15408 направлен на защиту информации от несанкционированного раскрытия, мо
дификации или потери возможности ее использования. Категории защиты, относящиеся к этим трем
типам нарушения безопасности, обычно называют конфиденциальностью, целостностью и доступно
стью соответственно. ИСО/МЭК 15408 может быть также применим к тем аспектам безопасности ИТ,
которые выходят за пределы этих трех понятий. ИСО/МЭК 15408 применим к рискам, возникающим в
результате действий человека (злоумышленных или иных), и к рискам, возникающим не в результате
действий человека. Кроме области безопасности ИТ. ИСО/МЭК 15408 может быть применим и в других
областях ИТ. но в нем не утверждается о применимости в этих областях.
Некоторые вопросы рассматриваются как лежащие вне области действия ИСО/МЭК 15408. по
скольку они требуют привлечения специальных методов или являются смежными по отношению к без
опасности ИТ. Часть из них перечислена ниже:
a) ИСО/МЭК 15408 не содержит критериев оценки безопасности, касающихся административных
мер безопасности, непосредственно не относящихся к функциональным возможностям безопасности
ИТ. Известно, однако, что безопасность в значительной степени может быть достигнута или поддержи
ваться административными мерами, такими как организационные меры, меры управления персоналом,
меры управления физической защитой и процедурные меры.
b
) Оценка некоторых специальных физических аспектов безопасности ИТ, таких как контроль
электромагнитного излучения, прямо не затрагивается, хотя многие концепции ИСО/МЭК 15408 при
менимы и в этой области.
c) В ИСО/МЭК 15408 не рассматривается методология оценки, в рамках которой могут применять
ся конкретные критерии. Данная методология приведена в ИСО/МЭК 18045.
d) В ИСО/МЭК 15408 не рассматривается административно-правовая структура, в рамках которой
критерии могут применяться органами оценки. Тем не менее, ожидается, что ИСО/МЭК 15408 будет ис
пользоваться для целей оценки в контексте такой структуры.
e) Процедуры использования результатов оценки при аттестации находятся вне области действия
ИСО/МЭК 15408. Аттестация является административным процессом, посредством которого предо
ставляются полномочия на использование продукта ИТ (или их совокупности) в конкретной среде функ
ционирования. включая все его части, не связанные с ИТ. Результаты процесса оценки являются ис
ходными данными для процесса аттестации. Однако, поскольку для оценки не связанных с ИТ свойств,
IV