Please enable JavaScript.
Coggle requires JavaScript to display documents.
ДСТУ ISO/IEC 15408-3:2017 Інформаційні технології. Методи захисту.…
ДСТУ ISO/IEC 15408-3:2017 Інформаційні технології. Методи захисту. Критерії оцінки.
Арбузов В.Т. КБ-91
Область застосування
Цей документ визначає вимоги серії стандартів ISO/IEC 15408. Він включає окремі компоненти гарантії, з яких складаються рівні гарантії оцінки та інші пакети, що містяться в ISO/IEC 15408-5, а також критерії для оцінки профілів захисту (PP), конфігурацій PP, модулів PP та цілей безпеки (STs).
Нормативні посилання
ISO/IEC 15408-1:2022 Інформаційна безпека. Критерії оцінювання безпеки ІТ. Частина 1. Вступ і
загальна модель
ISO/IEC 15408-2 Інформаційна безпека. Критерії оцінювання безпеки ІТ. Частина 2.
Функціональні компоненти безпеки.
ISO/IEC 15408-4 Інформаційна безпека, кібербезпека та захист конфіденційності. Критерії
оцінювання безпеки ІТ. Частина 4. Структура для специфікації методів оцінювання та діяльності.
ISO/IEC 15408-5 Інформаційна безпека. Критерії оцінювання безпеки ІТ. Частина 5. Попередньо
визначені пакети вимог безпеки.
ISO/IEC 18045:2022 Інформаційна безпека, кібербезпека та захист конфіденційності — Критерії
оцінки безпеки ІТ — Методологія оцінювання безпеки ІТ.
-
Терміни та визначення
процедура приймання
Процедура, що виконується для того, щоб прийняти новостворені чи змінені елементи конфігурації (3.3) як частину цільової оцінки (TOE) або перемістити їх на наступний крок життєвого циклу.
-
елемент конфігурації
Елемент або сукупність апаратного забезпечення, програмного забезпечення або того й іншого, призначеного для керування конфігурацією та розглядається як єдине ціле в процесі керування конфігурацією під час розробки цільової оцінки
список конфігурації
Вихідні дані управління конфігурацією документ із переліком усіх елементів конфігурації для конкретного продукту разом із точною версією кожного елемента керування конфігурацією, що стосується конкретної версії повного продукту
управління конфігурацією
Дисципліна, яка застосовує технічне та адміністративне керівництво та нагляд для: ідентифікації та документування функціональних і фізичних характеристик елемента конфігурації, контролю змін цих характеристик, запису та звітування про обробку змін і статус реалізації, а також перевірку відповідності встановленим вимогам.
-
-
-
-
-
-
-
-
-
розробка
фаза життєвого циклу продукту, яка пов’язана зі створенням представлення реалізації цілі
оцінювання
-
результат оцінювання
ресурс, який вимагається від спонсора або розробника оцінювачем або уповноваженим органом
з оцінки для виконання одного або кількох заходів з оцінювання або нагляду за оцінкою
-
установка
процедура, що виконується користувачем-людиною, який вбудовує ціль оцінювання (TOE) у своє
робоче середовище та переводить його в робочий стан
операція
<Життєвий цикл TOE> фаза використання цілі оцінювання (TOE), включаючи нормальне використання, адміністрування та обслуговування TOE після доставки (3.14) і підготовки (3.23).
потенційна вразливість
підозрювана, але не підтверджена слабкість
підготовка
діяльність на етапі життєвого циклу продукту, що включає прийняття замовником поставленої цілі
оцінки (TOE) та її встановлення (3.19)
виробництва
фаза життєвого циклу, яка складається з перетворення подання реалізації в реалізацію TOE,
тобто в стан, прийнятний для доставки (3.14) замовнику.
модель життєвого циклу
Структура, що містить процеси, дії та завдання, пов’язані з розробкою (3.15), експлуатацією та обслуговуванням продукту, що охоплює життєвий цикл системи від визначення її вимог до припинення її використання.
залишкова вразливість
Слабкість, яку не можна використати в операційному середовищі для цільового оцінювання (TOE), але яка може бути використана для порушення функціональних вимог безпеки (SFR) зловмисником із більшим потенціалом атаки, ніж очікується в робочому середовищі для TOE.
-
період часу до впливу
інтервал часу, коли елемент бере участь в ІТ-системі і може бути атакований
вразливість
недоліки в TOE, які можуть бути використані для порушення функціональних вимог безпеки (SFR)
у певному середовищі
вікно можливостей
період часу, протягом якого зловмисник має доступ до об’єкта оцінки