Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інелект-карта стандарту ISO/IEC 15408-2 Субота Роман КБ-21 - Coggle…
Інелект-карта стандарту ISO/IEC 15408-2
Субота Роман КБ-21
Вступ
Функціональні компоненти безпеки формують основу для вимог безпеки і виражають бажану поведінку системи. Вони спрямовані на досягнення цілей безпеки і можуть включати заходи протидії загрозам та організаційні політики безпеки
Аудиторія включає споживачів, розробників та оцінювачів безпечних ІТ-продуктів, згідно з ISO/IEC 15408-1:2022
Ці групи використовують цей документ таким чином
Споживачі використовують цей документ для вибору компонентів, що відповідають цілям безпеки, вираженим у PP, модулі PP, функціональному пакеті або ST. ISO/IEC 15408-1:20—, розділ 7, надає більш детальну інформацію про цю взаємодію.
Розробники використовують цей документ для розуміння вимог безпеки споживачів та визначення функціональних можливостей безпеки для створення TOE
Оцінювачі використовують SFR для перевірки, чи відповідають вимоги безпеки TOE, виражені у PP, модулі PP, функціональному пакеті або ST, і чи враховані всі залежності.
Область застосування
Визначення структури та змісту
тандарт визначає необхідну структуру та зміст функціональних компонентів безпеки
Оцінка безпеки
Він надає рамки для оцінки безпеки ІТ-продуктів, де функціональні компоненти є основою
Створення каталогу
Містить каталог функціональних компонентів, який відповідає загальним вимогам безпеки для багатьох ІТ-продуктів
Забезпечення відповідності
Функціональні компоненти безпеки стандарту забезпечують відповідність загальним вимогам безпеки
Підтримка стандартизації та безпеки
Цей стандарт виступає як важливий інструмент для стандартизації та забезпечення безпеки в області інформаційних технологій
Нормативні посилання
ISO/IEC 18045, Інформаційна безпека, кібербезпека та захист конфіденційності —
Критерії оцінки безпеки ІТ — Методологія оцінки безпеки ІТ
ISO/IEC 15408-3 Інформаційна безпека, кібербезпека та захист конфіденційності. Критерії
оцінки ІТ-безпеки.
ISO/IEC 15408-1:2022 Інформаційна безпека, кібербезпека та захист конфіденційності.
Критерії оцінювання безпеки ІТ
Терміни та визначення
Для цілей цього документу застосовуються терміни, визначення та скорочені терміни,
наведені в ISO/IEC 15408-1, ISO/IEC 15408-3, ISO/IEC 18045 та наступне
ISO та IEC підтримують термінологічні бази даних для використання в стандартизації за
такими адресами
IEC Electropedia: доступно на
https://www.electropedia.org/
Платформа онлайн-перегляду ISO: доступна за адресою
https://www.iso.org/obp
ідентичність
подання, що унікально ідентифікує сутність у контексті цілі оцінки (TOE)
Примітка 1 до запису.
Сутності можуть бути різними, такими як користувач, процес або диск. Представлення користувача-людини може бути повним ім'ям, скороченим або унікальним псевдонімом.
Примітка 2 до запису.
Сутність може мати більше ніж одну ідентичність
внутрішній канал зв'язку
канал зв'язку між відокремленими частинами цілі оцінювання (TOE)
внутрішня передача TOE
передача даних між окремими частинами цілі оцінки (TOE)
Секрет - інформація, доступна лише авторизованим користувачам або функціональним можливостям безпеки TOE (TSF), для забезпечення виконання певної політики безпеки (SFP)
Безпечний стан - це стан, в якому функціональні можливості безпеки TOE (TSF) узгоджені, і TSF продовжує правильно виконувати функціональні вимоги безпеки (SFR)
Дані користувача - це дані, що отримані або створені об'єктом оцінювання (TOE), які є важливими для зовнішньої сутності, але не впливають на функціональність безпеки TOE (TSF)
Примітка 1 до запису.
Це визначення передбачає, що дані, створені користувачами, які фактично впливають на роботу TSF, можуть розглядатися як дані TSF, залежно від концепції.
Дані TSF - це дані, що використовуються у функціонуванні функціональних вимог безпеки (SFR) на об'єкті оцінки (TOE)
Операція на компоненті ISO/IEC 15408-2: модифікація або повторення через призначення, ітерацію, уточнення або вибір.
передача між TSF
зв’язок між об’єктом оцінки (TOE) і функціональністю безпеки інших довірених ІТпродуктів
Надійний шлях - це засоби, що дозволяють користувачеві та об'єкту оцінки (TOE) спілкуватися з необхідною впевненістю.
Зв'язок зазвичай включає ідентифікацію та автентифікацію обох сторін, а також концепцію сеансу для користувача забезпеченого цілісністю
Якщо зовнішня сутність є довіреним ІТ-продуктом, замість
довіреного шляху використовується поняття довіреного каналу
Як фізичні, так і логічні аспекти захищеного зв’язку можна
розглядати як механізми досягнення довіри
ресурс TOE
будь-що, що можна використовувати або споживати в об’єкті оцінки (TOE)
Перенесення за межі ТО - це коли функціональність безпеки (TSF) передає дані об'єктам, які не контролюються TSF.
Довірений канал - це засоби, що дозволяють цільовій функції безпеки (TSF) та іншому довіреному ІТ-продукту спілкуватися з необхідною впевненістю
Політика функції безпеки (SFP) - набір правил, що описують конкретну поведінку безпеки, забезпечену функціональними можливостями безпеки TOE (TSF), і виражаються як набір функціональних вимог безпеки (SFR)