какие виды требований безопасности содержат общие критерии
Какие виды требований безопасности содержат общие критерии
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Safety of information. System of standards. Basic principles
ОКС 01.040.01
ОКСТУ 0090
Дата введения 2013-09-01
Предисловие
1 РАЗРАБОТАН Федеральным автономным учреждением “Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю” (ФАУ “ГНИИИ ПТЗИ ФСТЭК России”)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 “Защита информации”
5 ПЕРЕИЗДАНИЕ. Декабрь 2018 г.
1 Область применения
Настоящий стандарт устанавливает цель, задачи и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области.
Положения настоящего стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации некриптографическими методами, обеспечения (некриптографическими методами) безопасности информации в ключевых системах информационной инфраструктуры.
Настоящий стандарт является основополагающим национальным стандартом Российской Федерации в области защиты (некриптографическими методами) информации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 1.1 Межгосударственная система стандартизации. Термины и определения
ГОСТ 1.2 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения, обновления и отмены
ГОСТ 1.5 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению
ГОСТ Р 1.0 Стандартизация в Российской Федерации. Основные положения
ГОСТ Р 1.2 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления, внесения поправок, приостановки действия и отмены
ГОСТ Р 1.4 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения
ГОСТ Р 1.5 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила построения, изложения, оформления и обозначения
ГОСТ Р 1.7 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила оформления и обозначения при разработке на основе применения международных стандартов
ГОСТ Р 1.8 Стандартизация в Российской Федерации. Стандарты межгосударственные. Правила проведения в Российской Федерации работ по разработке, применению, обновлению и прекращению применения
ГОСТ Р 1.10 Стандартизация в Российской Федерации. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения, пересмотра и отмены
ГОСТ Р 1.12 Стандартизация в Российской Федерации. Термины и определения
ГОСТ Р 7.0.8 Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 53114 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 1.12, ГОСТ Р 50922, ГОСТ Р 7.0.8, ГОСТ Р 53114, ГОСТ 1.1, а также следующие термины с соответствующими определениями:
3.1 система стандартов по защите информации: Совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.
3.2 технология: Система взаимосвязанных методов, способов, приемов предметной деятельности.
3.3 продукция: Результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях.
3.4 процесс: Совокупность последовательных действий для достижения какого-либо результата.
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения:
5 Общие положения
5.1 Система стандартов по защите информации является составной частью национальной системы стандартизации Российской Федерации и формируется в соответствии с программами разработки национальных стандартов.
Целью ССЗИ является достижение рациональной упорядоченности организации и содержания работ в области ЗИ, повышение эффективности ЗИ на основе установления общих правил и характеристик для их многократного использования, а также повышение эффективности работ по стандартизации за счет упорядочения структуры системы стандартов, процесса разработки стандартов, учета взаимосвязи стандартов различных систем.
5.2 Основными задачами по формированию и развитию ССЗИ являются:
– установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;
– обеспечение единства терминологии в области ЗИ;
– упорядочение объектов и аспектов стандартизации в области ЗИ;
– обеспечение единства организационных и методических подходов к проведению работ по ЗИ;
– установление системы требований по ЗИ, предъявляемых к различным видам ОЗИ, и методов контроля выполнения этих требований;
– установление общих технических требований к СЗИ и СКЭЗИ, методам их испытаний;
– установление общих требований к услугам по ЗИ;
– установление требований к методам и методикам испытаний и оценки качества СЗИ и СКЭЗИ, к методам и методикам измерений в процессе контроля эффективности мероприятий по ЗИ;
– установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.
5.3 Формирование ССЗИ осуществляется во взаимосвязи с другими документами по стандартизации в области ЗИ, используемыми на территории Российской Федерации, с учетом основных принципов стандартизации, установленных ГОСТ Р 1.0, а также следующих дополнительных принципов:
– учет важности и характеристик ОЗИ при определении объектов и аспектов стандартизации в ходе планирования и разработки документов по стандартизации в области ЗИ;
– согласованность и непротиворечивость требований по ЗИ в документах по стандартизации, исключение их дублирования в различных документах, обеспечение унификации требований по ЗИ;
– комплексность охвата взаимосвязанных объектов стандартизации в области ЗИ.
5.4 Основными объектами стандартизации ССЗИ являются:
а) ЗИ как область деятельности:
– противодействие техническим разведкам;
– промышленные объекты, объекты науки, энергетики, жизнеобеспечения;
– объекты органов управления;
– процессы (работы, технологии);
в) угрозы безопасности информации и уязвимости ОЗИ;
г) организация и содержание работ по ЗИ;
д) методы (процессы, работы, технологии) ЗИ и методы контроля состояния ЗИ;
е) техника ЗИ, в том числе:
Какие виды требований безопасности содержат общие критерии
ГОСТ Р ИСО/МЭК 15408-1-2002
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Введение и общая модель
Information technology. Security techniques. Evaluation criteria for IT security.
Part 1. Introduction and general model
Дата введения 2004-01-01
1 РАЗРАБОТАН Центром безопасности информации, 4 ЦНИИ Министерства обороны РФ, Центром “Атомзащитаинформ”, ЦНИИАТОМИНФОРМ, ВНИИстандарт при участии экспертов Международной рабочей группы по Общим критериям
ВНЕСЕН Гостехкомиссией России, Техническими комитетами по стандартизации ТК 362Р “Защита информации” и ТК 22 “Информационные технологии”
2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 4 апреля 2002 г. N 133-ст
3 Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО/МЭК 15408-1-99 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель”
Введение
Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий (ИТ) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.
ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований и оценке безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).
ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
ГОСТ Р ИСО/МЭК 15408-3 включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
1 Область применения
ГОСТ Р ИСО/МЭК 15408 определяет критерии, за которыми исторически закрепилось название “Общие критерии” (OK). OK предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий (ИТ). Устанавливая общую базу критериев, OK делают результаты оценки безопасности ИТ значимыми для более широкой аудитории.
OK дают возможность сравнения результатов независимых оценок безопасности. Это достигается предоставлением общего набора требований к функциям безопасности продуктов и систем ИТ и к мерам доверия, применяемых к ним при оценке безопасности. В процессе оценки достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям. Результаты оценки помогут потребителям решить, являются ли продукты или системы ИТ достаточно безопасными для их предполагаемого применения и приемлемы ли прогнозируемые риски при их использовании.
OK полезны в качестве руководства как при разработке продуктов или систем с функциями безопасности ИТ, так и при приобретении коммерческих продуктов и систем с такими функциями. При оценке такой продукт или систему ИТ называют объектом оценки (ОО). К таким ОО, например, относятся операционные системы, вычислительные сети, распределенные системы и приложения.
OK направлены на защиту информации от несанкционированного раскрытия, модификации или потери возможности ее использования. Категории защиты, относящиеся к этим трем типам нарушения безопасности, обычно называют конфиденциальностью, целостностью и доступностью соответственно. OK могут быть также применены к тем аспектам безопасности ИТ, которые выходят за пределы этих трех понятий. OK сосредоточены на угрозах информации, возникающих в результате действий человека, как злоумышленных, так и иных, но возможно также применение OK и для некоторых угроз, не связанных с человеческим фактором. Кроме того, OK могут быть применены и в других областях ИТ, но не декларируется их правомочность вне строго ограниченной сферы безопасности ИТ.
OK применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Если предполагается, что отдельные аспекты оценки применимы только для некоторых способов реализации, это будет отмечено при изложении соответствующих критериев.
Некоторые вопросы рассматриваются как лежащие вне области действия OK, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Часть из них перечислена ниже.
а) OK не содержат критериев оценки безопасности, касающихся административных мер безопасности, непосредственно не относящихся к мерам безопасности ИТ. Известно, однако, что безопасность ОО в значительной степени может быть достигнута административными мерами, такими как организационные меры, управление персоналом, физическая защита и процедурный контроль. Административные меры безопасности в среде эксплуатации ОО рассматриваются в качестве предположений о безопасном использовании там, где они влияют на способность мер безопасности ИТ противостоять установленным угрозам.
б) Оценка специальных физических аспектов безопасности ИТ, таких как контроль электромагнитного излучения, прямо не затрагивается, хотя многие концепции ОК применимы и в этой области. В частности, рассмотрены некоторые аспекты физической защиты ОО.
в) В ОК не рассматривается ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки. Тем не менее, ожидается, что ОК будут использоваться для целей оценки в контексте такой структуры и такой методологии.
г) Процедуры использования результатов оценки при аттестации продуктов и систем ИТ находятся вне области действия ОК. Аттестация продукта или системы ИТ является административным процессом, посредством которого предоставляются полномочия на их использование в конкретной среде эксплуатации. Оценка концентрируется на тех аспектах безопасности продукта или системы ИТ и на тех аспектах среды эксплуатации, которые могут непосредственно влиять на безопасное использование элементов ИТ. Результаты процесса оценки являются, следовательно, важными исходными материалами для процесса аттестации. Однако, поскольку для оценки не связанных с ИТ характеристик безопасности продукта или системы, а также их соотнесения с аспектами безопасности ИТ более приемлемы другие способы, аттестующим следует предусмотреть для этих аспектов особый подход.
д) Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК. Если требуется независимая оценка математических свойств криптографии, встроенной в ОО, то в системе оценки, в рамках которой применяются ОК, необходимо предусмотреть проведение таких оценок.
2 Определения
2.1 Общие сокращения
Следующие сокращения являются общими для всех частей ОК.
Какие виды требований безопасности содержат общие критерии
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Системы и комплексы космические
ПРОГРАММА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ
Space systems and complexes. Programme of operation safety assurance. General requirements
Дата введения 2016-01-01
Предисловие
1 РАЗРАБОТАН ФГУП “Центральный научно-исследовательский институт машиностроения” (ФГУП “ЦНИИмаш”)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 321 “Ракетно-космическая техника”
5 ПЕРЕИЗДАНИЕ. Октябрь 2019 г.
1 Область применения
Положения настоящего стандарта подлежат применению всеми организациями Российской Федерации в соответствии с их компетенцией, юридическими и физическими лицами, участвующими в создании, модернизации, доработке космических систем (комплексов) и их изделий различного назначения.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 2.001-93 Единая система конструкторской документации. Общие положения
ГОСТ 2.102 Единая система конструкторской документации. Виды и комплектность конструкторских документов
ГОСТ 2.119 Единая система конструкторской документации. Эскизный проект
ГОСТ 2.120 Единая система конструкторской документации. Технический проект
ГОСТ 2.124 Единая система конструкторской документации. Порядок применения покупных изделий
ГОСТ 2.201 Единая система конструкторской документации. Обозначение изделий и конструкторских документов
ГОСТ 2.501 Единая система конструкторской документации. Правила учета и хранения
ГОСТ 2.503 Единая система конструкторской документации. Правила внесения изменений
ГОСТ 2.711 Единая система конструкторской документации. Схема деления изделия на составные части
ГОСТ 12.0.003 Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация
ГОСТ 12.4.011 Система стандартов безопасности труда. Средства защиты работающих. Общие требования и классификация
ГОСТ 21964 Внешние воздействующие факторы. Номенклатура и характеристики
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
космическая система (КС): Совокупность одного или несколько космических комплексов и специальных комплексов, предназначенных для решения целевых задач.
3.2 космический комплекс (комплекс): Совокупность составных частей и входящих в их состав систем, агрегатов, приборов, обеспечивающих функционирование и выполнение задач в соответствии с тактико-техническим заданием (техническим заданием) на комплекс.
1 В качестве составной части комплекса могут быть: ракета, ракета-носитель, разгонный блок (блок выведения), космический аппарат, головная часть, орбитальный самолет, пусковая установка, стартовый комплекс, технический комплекс, система дистанционного управления и контроля, средства наземного автоматизированного комплекса управления, наземного комплекса управления, наземного специального комплекса, полигонного измерительного комплекса, измерительного комплекса космодрома, корабельного командно-измерительного комплекса и поисково-спасательного комплекса для данного комплекса, командный пункт, автоматизированная система охраны, технологическое оборудование технической позиции, комплекс наземного технологического оборудования, система электроснабжения объектов, автономные технические системы объектов, учебно-тренировочные средства, специализированные средства подготовки космонавтов в объеме согласованных тактико-технических заданий на пилотируемые космические комплексы и т.п.
2 В качестве системы могут быть: двигательная установка, бортовая система управления, бортовая система энергоснабжения и т.п., которые входят в состав комплекса и (или) его составных частей.
3 В качестве агрегата (прибора) комплекса могут быть: двигатель, автомат стабилизации, рулевая машинка и т.п., которые входят в состав составных частей и (или) систем.
специальный комплекс космической системы СпКС: Совокупность взаимосвязанных технических средств или аппаратуры приема и передачи информации с программным обеспечением, сооружений, предназначенных для приема специальной информации космических аппаратов, ее регистрации, обработки, хранения и представления потребителям.
3.4 изделие комплекса: Составная часть комплекса, система, аппаратура, агрегат, прибор, блок, узел, электрорадиоизделие, комплектующее изделие (включая комплектующее изделие межотраслевого применения), программное изделие (продукт), бортинструмент, автоматизированная система управления всех видов, входящие в состав комплекса или любой его составной части.
3.5 составная часть изделия: Совокупность элементов изделия, выполняющая определенные технические функции и имеющая свой индекс (шифр), формуляр (паспорт).
3.6 безопасность эксплуатации космической системы (комплекса): Состояние системы эксплуатации космической системы (комплекса), при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан (в том числе обслуживающему персоналу), имуществу физических и юридических лиц (в том числе государственному или муниципальному имуществу), окружающей среде, жизни или здоровью животных и растений.
система эксплуатации: Совокупность изделий, средств эксплуатации, исполнителей и устанавливающей правила их взаимодействия документации, необходимых и достаточных для выполнения задач эксплуатации.
вред (harm): Физический ущерб или урон здоровью, имуществу или окружающей среде.
3.9 риск: Вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.
допустимый риск: Риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.
3.11 опасность: Источник потенциального вреда или ситуация с потенциальной возможностью причинения вреда.
3.12 опасное состояние (опасная ситуация): Состояние, возникающее в результате развития нештатной, аварийной ситуации или аварии и характеризующееся воздействием опасных и/или вредных факторов, созданием угрозы жизни и здоровью обслуживающего персонала, целостности объекта эксплуатации и сопрягаемым с ним объектам, а также иному имуществу, окружающей среде, жизни и здоровью животных и растений.
3.13 критерий опасного состояния: Признак (или совокупность признаков) опасного состояния объекта эксплуатации, установленный (установленные) нормативно-технической и/или конструкторской (проектной) документацией.
3.14 опасный фактор: Фактор, воздействие которого может привести к травме или другому резкому ухудшению здоровья обслуживающего персонала или вызвать повреждение изделия, сопрягаемых объектов, ухудшить состояние окружающей природной среды.
3.15 вредный фактор: Фактор, воздействие которого может привести к заболеванию или снижению работоспособности обслуживающего персонала, вызвать снижение эксплуатационных характеристик изделия и сопрягаемых объектов или оказать прямое или косвенное вредное влияние на окружающую природную среду.
3.16 нештатная ситуация: Состояние системы эксплуатации, характеризующееся любым отклонением от заданной (штатной) программы эксплуатации космического комплекса, его составных частей, вызванное ошибками и несанкционированными действиями обслуживающего персонала (членов экипажа), повреждениями и отказами техники, отклонениями параметров внешней среды от расчетных значений, потенциально способное привести к возникновению опасности.
3.17 последствия отказа: Вероятный (наблюдаемый) ущерб от отказа составной части и/или объекта эксплуатации в целом.
3.18 тяжесть последствий отказа: Качественная или количественная оценка вероятного (наблюдаемого) ущерба от отказа составной части и/или объекта эксплуатации.
3.19 критический отказ: Отказ объекта эксплуатации или его составной части, тяжесть последствий которого в пределах данного анализа признана недопустимой и требует принятия специальных мер по снижению вероятности данного отказа и/или возможного ущерба, связанного с его возникновением, а также увеличению вероятности обнаружения данного отказа.
3.20 критичный элемент (изделие) комплекса: Элемент (изделие) комплекса, который в силу тех или иных причин (тяжести последствий при отказе, сложности и экспериментальной непроверяемости его конструкции, отсутствия достоверных сведений о вероятности безотказной работы или недостаточно высокого ее значения, сложности и неотработанности технологии изготовления и др.) требует разработки специальных мероприятий для включения в программы обеспечения надежности, комплексной экспериментальной отработки, повышения (поддержания) надежности.
3.21 опасная операция: Операция, выполнение которой может привести к возникновению опасной ситуации, т.е. к переходу объекта эксплуатации в опасное состояние.
3.22 особо важная операция: Опасная и/или ответственная операция из перечня критичных технологических процессов (операций), подлежащая обязательному контролю со стороны должностных лиц.
3.23 критичный технологический процесс (операция): Технологический процесс (операция) изготовления, сборки, контроля, настройки, испытания изделия, подготовки его к применению по назначению, от основных параметров которого вследствие ограничений по их измерению и контролю существенно зависит надежность и безопасность изделия, получение изделия с заданными техническими характеристиками.
3.24 аварийная ситуация: Нештатная ситуация, характеризуемая приложением разрушающих нагрузок к космическому комплексу, изделиям космического комплекса, в результате чего создается угроза потери работоспособности объекта эксплуатации или потери объекта в целом, ухудшения здоровья или гибели обслуживающего персонала, невыполнения целевой задачи обслуживающим персоналом.
3.25 авария: Событие, состоящее в разрушении сооружений, оборудования, технических устройств, неконтролируемом взрыве и/или выбросе опасных веществ в результате развития аварийной ситуации, которое не повлекло за собой гибель людей, но создающее угрозу жизни и здоровью людей.
3.26 несчастный случай: Событие с работающим персоналом, явившееся результатом воздействия на него опасных и вредных факторов и повлекшее за собой гибель, увечье или временную потерю трудоспособности пострадавшего.
3.27 катастрофа: Событие, повлекшее за собой гибель людей и повреждение техники, в результате которого требуются ее ремонт или ее списание.
3.28 требования безопасности: Совокупность характеристик, условий, предъявляемых к объекту эксплуатации, а также к технологическим способам и защитным средствам, техническим и организационным мероприятиям обеспечения безопасности с целью исключения или снижения до допустимых значений воздействий на обслуживающий персонал, объект эксплуатации, сопрягаемые и другие объекты, а также окружающую природную среду, опасные и вредные факторы которых могут возникнуть в процессе эксплуатации объекта.
4 Сокращения
В настоящем стандарте применены следующие сокращения: