ГОСТ Р 54582—2011
применяться к совокупности компонентов, составляющих доверенный продукт, и необязательно к каж-
дому компоненту продукта в отдельности. Следовательно, некоторые компоненты продукта могут быть
совершенно ненадежны, тогда как другие могут оцениваться индивидуально по более высокому или
более низкому классу оценивания, чем рассматриваемый в целом доверенный продукт. В доверенных
продуктах на самом верху ранжирования устойчивость механизмов изоляции и посредничества такова,
что многие из компонентов продукта могут быть совершенно ненадежны.
Требования доверия могут применяться ко всему спектру продуктов обработки электронных дан-
ных или сред обработки прикладных программ без специальной интерпретации.
6.4.3 Источники
См. [31].
Примечание — СТСРЕС является стандартом для внутреннего пользования и результатом разработки
Института коммуникационной безопасности (CSE), P.O.Box 9703, Terminal, Ottawa, Ontario K1G 3Z4, Canada.
6.5 KISEC/KISEM — корейские критерии и методология оценивания информационной
безопасности
D
I
O
12
6.5.1 Цель
Предоставление структуры критериев и методологии оценивания безопасности для межсетевых
экранов и систем обнаружения вторжения в Корее.
6.5.2 Описание
«Корейские критерии оценивания безопасности информации» (KISEC) и «Корейская методология
оценивания безопасности информации» (KISEM) были разработаны в 1998 г. с тремя целями:
- обеспечение иерархической оценочной шкалы для оценивания функций безопасности межсете-
вых экранов и систем обнаружения вторжения;
- обеспечение метода специфицирования высоконадежных межсетевых экранов и систем обна-
ружения вторжения при закупке;
- накопление знаний, связанных с оцениванием безопасности, путем эксплуатации собственных
критериев и методологии оценивания.
KISEC определяет функциональные требования и требования доверия к каждому из семи уров-
ней оценивания (от К1 до К7). На каждом уровне имеется набор функциональных требований и требо-
ваний доверия KISEC, которым должны соответствовать оцениваемые межсетевые экраны и системы
обнаружения вторжения. KISEC имеет несколько других функциональных требований, зависящих от
типа продукта, такого как межсетевые экраны и системы обнаружения вторжения. Однако требования
доверия обычно используются как для межсетевых экранов, так и для систем обнаружения вторжения.
Функциональные требования включают в себя идентификацию и аутентификацию, целостность, про-
верку безопасности, менеджмент безопасности и т. д. Требования доверия включают в себя разработку,
управление конфигурацией, тестирование, эксплуатационную среду, руководящие документы и анализ
уязвимостей.
Конкретный уровень определяется в соответствии с реализованными функциями безопасности и
уверенности в соответствии межсетевых экранов и систем обнаружения вторжения требованиям дове-
рия. В зависимости от функциональных требований и требований доверия оценочный уровень делится
на семь уровней. Низший уровень представлен К1, высший — К7.
Ниже приведены характеристики каждого оценочного уровня:
- уровень К1 должен соответствовать минимальному уровню функций безопасности, таких как
идентификация и аутентификация, для системного администратора и руководства безопасностью и т. д.
Также должны быть в наличии задание по безопасности и функциональные спецификации;
- уровень К2 должен соответствовать требованиям уровня К1 и быть способным создавать и со-
хранять записи аудита деятельности, связанной с безопасностью. Также может потребоваться доку-
ментация архитектурного проекта. Необходимо провести анализ уязвимостей и неправильного приме-
нения межсетевых экранов и систем обнаружения вторжения;
- уровень К3 должен соответствовать требованиям уровня К2 и быть способен проверять наличие
любых модификаций хранимых данных внутри межсетевого экрана или системы обнаружения вторже-
ния и переданных данных. Требуется также подробная документация по организации проектирования и
конфигурационному управлению;