ГОСТ Р 54582—2011
- описание: краткое описание метода;
- источники, описывающие: адрес/ссылку на комитеты и/или организации и документы по методу
и/или стандартизации.
6 Методы обеспечения доверия
6.1 ИСО/МЭК 15408 — критерии оценки безопасности информационных технологий
D
I
T
O
6.1.1 Цель
Обеспечение согласованной схемы и подробных критериев оценки безопасности ИТ, пригодных
для использования как в государственных структурах, так и для общего пользования.
6.1.2 Описание
Общие критерии разработаны по поручению правительственных учреждений, связанных с инфор-
мационной безопасностью, как способ независимой оценки характеристик безопасности продуктов и
систем ИКТ. Критерии были разработаны во взаимодействии с совместным техническим комитетом 1,
подкомитет 27, «Методы и средства обеспечения безопасности» (СТК 1 ПК 27) и опубликованы как
международный стандарт ИСО/МЭК 15408.
Общие критерии разделяют понятия «функциональные возможности безопасности» и «доверие к
безопасности» и детально специфицируют методы, средства и функции, которые могут способствовать
созданию уверенности в соответствии продукта безопасности целям безопасности. Конкретные мето-
ды, средства и функции доверия определены в ИСО/МЭК 15408-3 и в первую очередь (но не исклю-
чительно в этих целях) предназначены для получения доверия посредством независимой оценки или
верификации. Планируется возможность верификации согласованного применения критериев оценки
посредством схем национальной сертификации.
В рамках ИСО/МЭК 15408-3 методы и средства обеспечения доверия разделены на четыре обла-
сти применения, называемые «классами». В пределах каждого класса определены различные методы,
называемые «семействами». В каждом семействе имеются один или более уровней строгости. Уровни
строгости, по которым могут применяться методы, называются «компонентами». Каждый компонент
обозначает необходимые точные действия и элементы доказательства.
В рамках ИСО/МЭК 15408-3 определены несколько пакетов компонентов доверия, работающих
вместе на взаимодополняющей основе. Пакеты компонентов доверия, работающих вместе на взаимо-
дополняющей основе, называют «оценочными уровнями доверия».
Вспомогательная методология по применению этих критериев, общая методология оценки раз-
рабатываются рабочей группой по общей методологии оценки, являющейся подгруппой проекта общих
критериев.
6.1.3 Источники
ИСО/МЭК 15408-1; ИСО/МЭК 15408-2; ИСО/МЭК 15408-3.
Примечание — ИСО/МЭК 15408 является результатом деятельности ИСО/МЭК c совместным техниче-
ским комитетом 1, подкомитет 27, рабочая группа 3 (СТК 1/ПК 27/РГ 3) «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности».
6.2 TCSEC — критерии оценки безопасности доверенных компьютерных систем
D
I
O
8
6.2.1 Цель
Классификация или определение класса безопасности продукта компьютерной системы.
6.2.2 Описание
Критерии оценки безопасности доверенных компьютерных систем (TCSEC) являются совокупно-
стью критериев, ранее использовавшихся для классификации или определения класса безопасности,
обеспечиваемой продуктом компьютерной системы. Новые оценки с использованием TCSEC в настоя-
щее время не проводятся, хотя разработки их ведутся. Иногда TCSEC называют «Оранжевой книгой»
из-за
оранжевого
цвета
ее
обложки.