ГОСТ Р ИСО/МЭК 15408-1-2002
Введение
Проблема обеспечения безопасности информационных технологий занимает все более значи
тельное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в
информатизации общества. Обеспечение безопасности информационных технологий (ИТ) представ
ляет собой комплексную проблему, которая решается в направленияхсовершенствования правового
регулирования применения ИТ, совершенствования методов и средств их разработки, развития
системы сертификации, обеспечения соответствующих организационно-технических условий экс
плуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы
требований, критериев и показателей для оценки уровня безопасности ИТ.
ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных
технологий.
ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований и оцен
ке безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание
по безопасности) представления требований безопасности в интересах потребителей, разработчиков
и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии
Общих критериев определяются исходя из целей безопасности, которые, и свою очередь, основы
ваются на анализе назначения ОО и условий среды его использования (угроз, предположений,
политики безопасности).
ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный катают функци
ональных требований безопасности и предусматривает возможность их детализации и расширения
по определенным правилам.
ГОСТ Р ИСО/МЭК 15408-3 включает в себя систематизированный каталог требований дове
рия. определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта
или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним
функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие
шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить
проектную, тестовую и эксплуатационную документацию, правильность реализации функций без
опасности ОО. уязвимости продукта или системы ИТ. стойкость механизмов зашиты и
сделать заключение об уровне доверия к безопасности объекта оценки.
IV