ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

.
Наименование документа:ГОСТ Р ИСО/МЭК 18045-2008
Тип документа:ГОСТ Р ИСО/МЭК
Статус документа:Действует
Название:Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий
Название англ.:Information technology. Security techniques. Methodology for IT security evaluation
Область применения:Стандарт - нормативный документ, применяемый совместно с ИСО/МЭК 15408. Настоящий стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки безопасности информационных технологий по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО/МЭК 15408.
Краткое содержание:

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Обозначения и сокращения

5 Краткий обзор

5.1 Структура стандарта

6 Принятые соглашения

6.1 Терминология

6.2 Применение глаголов

6.3 Общие указания по оценке

6.4 Взаимосвязь между структурами ИСО/МЭК 15408 и настоящего стандарта

6.5 Вердикты оценщика

7 Общие задачи оценки

7.1 Введение

7.2 Задача получения исходных данных для оценки

7.2.1 Цели

7.2.2 Замечания по применению

7.2.3 Подзадача управления свидетельством оценки

7.3 Задача оформления результатов оценки

7.3.1 Цели

7.3.2 Замечания по применению

7.3.3 Подзадача подготовки СП

7.3.4 Подзадача подготовки ТОО

7.3.5 Подвиды деятельности по оценке

8 Оценка профиля защиты

8.1 Введение

8.2 Организация оценки ПЗ

8.3 Вид деятельности «Оценка профиля защиты»

8.3.1 Оценка раздела «Описание 00» (APEDES.1)

8.3.2 Оценка раздела «Среда безопасности ОО» (APEENV.1)

8.3.3 Оценка раздела «Введение ПЗ» (APEJNT.1)

8.3.4 Оценка раздела «Цели безопасности» (APE_OBJ.1)

8.3.5 Оценка раздела «Требования безопасности ИТ» (APEREQ.1)

8.3.6 Оценка требований безопасности ИТ, сформулированных в явном виде (APE_SRE.1)

9 Оценка задания по безопасности

9.1 Введение

9.2 Организация оценки ЗБ

9.3 Вид деятельности «Оценка задания по безопасности»

9.3.1 Оценка раздела «Описание ОО» (ASEDES.1)

9.3.2 Оценка раздела «Среда безопасности ОО» (ASEENV.1)

9.3.3 Оценка раздела «Введение ЗБ» (ASEJNT.1)

9.3.4 Оценка целей безопасности (ASE_OBJ.1)

9.3.5 Оценка раздела «Утверждение о соответствии ПЗ» (ASE_PPC1)

9.3.6 Оценка раздела «Требования безопасности ИТ» (ASEREQ.1)

9.3.7 Оценка требований безопасности ИТ, сформулированных в явном виде (ASE_SRE.1)

9.3.8 Оценка раздела «Краткая спецификация ОО» (ASE_TSS.1)

10 Оценка по ОУД1

10.1 Введение

10.2 Цели

10.3 Организация оценки по ОУД1

10.4 Вид деятельности «Управление конфигурацией»

10.4.1 Оценка возможностей УК (АСМ_САР 1)

10.5 Вид деятельности «Поставка и эксплуатация»

10.5.1 Оценка установки, генерации и запуска (ADOJGS.1)

10.6 Вид деятельности «Разработка»

10.6.1 Замечания по применению

10.6.2 Оценка функциональной спецификации (ADV_FSP.1)

10.6.3 Оценка соответствия представлений (ADV_RCR.1)

10.7 Вид деятельности «Руководства»

10.7.1 Замечания по применению

10.7.2 Оценка руководства администратора (AGD_ADM.1)

10.7.3 Оценка руководства пользователя (AGD_USR.1)

10.8 Вид деятельности «Тестирование».

10.8.1 Замечания по применению

10.8.2 Оценка путем независимого тестирования (ATEJND.1)

11 Оценка по ОУД2

11.1 Введение

11.2 Цели

11.3 Организация оценки по ОУД2

11.4 Вид деятельности «Управление конфигурацией»

11.4.1 Оценка возможностей УК (АСМ_САР2)

11.5 Вид деятельности «Поставка и эксплуатация»

11.5.1 Оценка поставки (ADO_DEL.1)

11.5.2 Оценка установки, генерации и запуска (ADOJGS.1)

11.6 Вид деятельности «Разработка»

11.6.1 Замечания по применению

11.6.2 Оценка функциональной спецификации (ADV_FSP.1)

11.6.3 Оценка проекта верхнего уровня (ADVJHLD.1)

11.6.4 Оценка соответствия представлений (ADV_RCR.1)

11.7 Вид деятельности «Руководства»

11.7.1 Замечания по применению

11.7.2 Оценка руководства администратора (AGD_ADM.1)

11.7.3 Оценка руководства пользователя (AGD_USR.1)

11.8 Вид деятельности «Тестирование»

11.8.1 Замечания по применению

11.8.2 Оценка покрытия (ATECOV.1)

11.8.3 Оценка функциональных тестов (ATE_FUN.1)

11.8.4 Оценка путем независимого тестирования (ATEJND.2)

11.9 Вид деятельности «Оценка уязвимостей»

11.9.1 Оценка стойкости функций безопасности ОО (AVA_SOF.1)

11.9.2 Оценка анализа уязвимостей (AVA_VLA.1)

12 Оценка по ОУДЗ

12.1 Введение

12.2 Цели

12.3 Организация оценки по ОУДЗ

12.4 Вид деятельности «Управление конфигурацией»

12.4.1 Оценка возможностей УК (АСМСАР.З)

12.4.2 Оценка области УК (ACM_SCP1)

12.5 Вид деятельности «Поставка и эксплуатация»

12.5.1 Оценка поставки (ADO_DEL.1)

12.5.2 Оценка установки, генерации и запуска (ADOJGS.1)

12.6 Вид деятельности «Разработка»

12.6.1 Замечания по применению

12.6.2 Оценка функциональной спецификации (ADV_FSP1)

12.6.3 Оценка проекта верхнего уровня (ADVJHLD.2)

12.6.4 Оценка соответствия представлений (ADV_RCR.1)

12.7 Вид деятельности «Руководства»

12.7.1 Замечания по применению

12.7.2 Оценка руководства администратора (AGD_ADM.1)

12.7.3 Оценка руководства пользователя (AGD_USR.1)

12.8 Вид деятельности «Поддержка жизненного цикла»

12.8.1 Оценка безопасности разработки (ALC_DVS.1)

12.9 Вид деятельности «Тестирование»

12.9.1 Замечания по применению

12.9.2 Оценка покрытия (ATECOV.2)

12.9.3 Оценка глубины (ATE_DPT.1)

12.9.4 Оценка функциональных тестов (ATE_FUN.1)

12.9.5 Оценка путем независимого тестирования (ATEJND.2)

12.10 Вид деятельности «Оценка уязвимостей»

12.10.1 Оценка неправильного применения (AVA_MSU.1)

12.10.2 Оценка стойкости функций безопасности ОО (AVA_SOF.1)

12.10.3 Оценка анализа уязвимостей (AVA_VLA.1)

13 Оценка по ОУД4

13.1 Введение

13.2 Цели

13.3 Организация оценки по ОУД4

13.4 Вид деятельности «Управление конфигурацией»

13.4.1 Оценка автоматизации УК (ACM_AUT1)

13.4.2 Оценка возможностей УК (АСМ_САР.4)

13.4.3 Оценка области УК (ACM_SCP.2)

13.5 Вид деятельности «Поставка и эксплуатация»

13.5.1 Оценка поставки (ADO_DEL2)

13.5.2 Оценка установки, генерации и запуска (ADOJGS.1)

13.6 Вид деятельности «Разработка»

13.6.1 Замечания по применению

13.6.2 Оценка функциональной спецификации (ADV_FSP2)

13.6.3 Оценка проекта верхнего уровня (ADVJHLD.2)

13.6.4 Оценка представления реализации (ADVJMP1)

13.6.5 Оценка проекта нижнего уровня (ADVLLD.1)

13.6.6 Оценка соответствия представлений (ADV_RCR.1)

13.6.7 Оценка моделирования политики безопасности ОО (ADV_SPM.1)

13.7 Вид деятельности «Руководства»

13.7.1 Замечания по применению

13.7.2 Оценка руководства администратора (AGD_ADM.1)

13.7.3 Оценка руководства пользователя (AGD_USR.1)

13.8 Вид деятельности «Поддержка жизненного цикла»

13.8.1 Оценка безопасности разработки (ALC_DVS.1)

13.8.2 Оценка определения жизненного цикла (ALC_LCD.1)

13.8.3 Оценка инструментальных средств и методов (ALC_TAT1)

13.9 Вид деятельности «Тестирование»

13.9.1.Замечания по применению

13.9.2 Оценка покрытия (ATECOV.2)

13.9.3 Оценка глубины (ATE_DPT.1)

13.9.4 Оценка функциональных тестов (ATE_FUN.1)

13.9.5 Оценка путем независимого тестирования (ATEJND.2)

13.10 Вид деятельности «Оценка уязвимостей»

13.10.1 Оценка неправильного применения (AVA_MSU.2)

13.10.2 Оценка стойкости функций безопасности ОО (AVA_SOF1)

13.10.3 Оценка анализа уязвимостей (AVA_VLA.2)

14 Подвид деятельности «Устранение недостатков»

14.1 Оценка устранения недостатков (ALC_FLR.1)

14.1.1 Цели

14.1.2 Исходные данные

14.1.3 Действие ALC_FLR.1.1E

14.2 Оценка устранения недостатков (ALC_FLR.2)

14.2.1 Цели

14.2.2 Исходные данные

14.2.3 Действие ALC_FLR.2.1E

14.3 Оценка устранения недостатков (ALC_FLR.3)

14.3.1 Цели

14.3.2 Исходные данные

14.3.3 Действие ALC_FLR.3.1E

Приложение А(обязательное) Общие указания по оценке

А.1 Цели

А.2 Выборка

А.3 Анализ непротиворечивости

А.4 Зависимости

А.4.1 Зависимости между видами деятельности

А.4.2 Зависимости между подвидами деятельности

А.4.3 Зависимости между действиями

А.5 Посещение объектов

А.6 Границы объекта оценки

А.6.1 Продукт и система

А.6.2 Объект оценки

А.6.3 Функции безопасности объекта оценки

А.6.4 Оценка

А.6.5 Сертификация

А.7 Угрозы и требования класса FPT

А.7.1 Объекты оценки, для которых не обязательны требования класса FPT

А.7.1.1 Объект оценки с ограниченным интерфейсом пользователя

А.7.1.2 Объект оценки, не осуществляющий соответствующую политику безопасности

А.7.1.3 Защита обеспечивается средой

А.7.2 Воздействие на семейства доверия

А.7.2.1 ADV

А.7.2.2 AVA_VLA

А.7.2.3 ATEJND

А.8 Стойкость функций безопасности и анализ уязвимостей

А.8.1 Потенциал нападения

А.8.1.1 Применение потенциала нападения

А.8.1.2 Трактовка мотивации

А.8.2 Вычисление потенциала нападения

А.8.2.1 Идентификация и использование

А.8.2.2 Учитываемые факторы

А.8.2.3 Подход к вычислению

А.8.3 Пример анализа стойкости функции

А.9 Сфера ответственности системы оценки

Приложение В (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам

Комментарий:Введен впервые
Дата добавления в базу:01.09.2013
Дата актуализации:01.12.2013
Дата введение:01.10.2009
Доступно сейчас для просмотра:100% текста. Полная версия документа.
Организации:
Связанные документы:

ГОСТ Р ИСО 9000-2008 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

.
Помните!
Вся полученная прибыль с сайта идет на развитие проекта, оплату услуг хостинг-провайдера, еженедельные обновления базы данных СНИПов, улучшение предоставлямых сервисов и услуг портала.
Скачайте «ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» и внесите свой малый вклад в развитие сайта!