Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта стандарту ISO/IEC 15408-3 Субота Роман КБ-21 - Coggle…
Інтелект-карта стандарту ISO/IEC 15408-3
Субота Роман КБ-21
Вступ
Компоненти безпеки, визначені в цьому документі, є основою для вимог безпеки в системах ІТ. Вони встановлюють стандартний спосіб вираження вимог довіри до об'єкта оцінки і включають набір компонентів довіри та критерії оцінки. Аудиторія включає споживачів, розробників та оцінювачів ІТ-продуктів.
Ці групи можуть використовувати цей документ таким чином
Розробники використовують цей документ для тлумачення вимог безпеки споживачів при створенні об'єкта оцінки (TOE) та визначення підходів до підтвердження його достовірності.
Споживачі використовують цей документ для вибору компонентів, що задовольнять вимоги безпеки у профілях захисту або цілях безпеки, встановлюючи необхідні рівні гарантій безпеки для об'єкта оцінки.
Оцінювачі використовують цей документ для визначення критеріїв оцінки достовірності об'єкта оцінки (TOE) та профілів захисту (PP) та цілей безпеки (ST) під час оцінювання їхньої достовірності.
Область застосування
Визначення критеріїв для оцінки конфігурацій PP
Встановлення критеріїв, за якими оцінюються конкретні конфігурації профілів захисту, які використовуються для адаптації до конкретних потреб або вимог.
Включення окремих компонентів гарантії
Стандарт визначає різні компоненти гарантії, такі як технічні заходи захисту, управління безпекою, функціональна безпека тощо, які утворюють основу для оцінки безпеки продуктів.
Встановлення критеріїв для оцінки профілів захисту (PP)
Стандарт визначає критерії, які використовуються для оцінки профілів захисту, що вказують на набір вимог безпеки для конкретних продуктів або систем
Встановлення критеріїв для оцінки модулів PP
Визначення критеріїв, які застосовуються до окремих модулів, які можуть бути використані для будь-якого процесу оцінки безпеки.
Визначення вимог для серії стандартів ISO/IEC 15408
Цей стандарт встановлює основні вимоги та принципи для оцінки безпеки продуктів ІТ, включаючи програмне забезпечення та апаратне забезпечення.
Установка критеріїв для оцінки цілей безпеки (STs)
Визначення критеріїв, за якими оцінюються конкретні цілі безпеки, які визначаються для конкретного об'єкта оцінки.
Нормативні посилання
ISO/IEC 15408-2 Інформаційна безпека. Критерії оцінювання безпеки ІТ. Частина 2.
ISO/IEC 15408-4 Інформаційна безпека, кібербезпека та захист конфіденційності. Критерії
оцінювання безпеки ІТ. Частина 4.
ISO/IEC 15408-5 Інформаційна безпека. Критерії оцінювання безпеки ІТ. Частина 5.
ISO/IEC 15408-1:2022 Інформаційна безпека. Критерії оцінювання безпеки ІТ
ISO/IEC IEEE 24765 Системна інженерія програмного забезпечення — Словник
ISO/IEC 18045:2022 Інформаційна безпека, кібербезпека та захист конфіденційності —
Критерії оцінки безпеки ІТ — Методологія оцінювання безпеки ІТ
Терміни та визначення
ISO та IEC підтримують термінологічні бази даних для використання в стандартизації за
такими адресами
Платформа онлайн-перегляду ISO: доступна за адресою
https://www.iso.org/obp
IEC Electropedia: доступно на
https://www.electropedia.org/
Процедура приймання
Примітка 1 до запису.
Ці процедури визначають ролі або осіб, відповідальних за прийняття, і
критерії, які мають застосовуватися для прийняття рішення про прийняття.
Примітка 2 до запису.
Існує декілька типів ситуацій прийняття, деякі з яких можуть збігатися
прийняття елемента в систему керування конфігурацією вперше, зокрема як частину
процесу інтеграції
перехід елементів конфігурації до наступної фази життєвого циклу на кожному етапі
побудови ТО
після транспортування елементів конфігурації
після доставки (3.14) ТОЕ споживачу
після інтеграції TOE
ПРИКЛАД 3
Елемент дії оцінювача або розробника ISO/IEC 15408-3
Ці дії або явно визначені як дії оцінювача, або неявно випливають із дій
розробника (передбачувані дії оцінювача) у компонентах підтвердження ISO/IEC 15408-3.
елемент конфігурації
TOE - це апаратне або програмне забезпечення, або їх комбінація, яке керується як єдине ціле під час розробки та керування конфігурацією.
управління конфігурацією
Управління конфігурацією (СМ) - дисципліна, що включає технічне та адміністративне керівництво для ідентифікації, документування, контролю змін та звітування про характеристики елемента конфігурації, а також для перевірки їх відповідності вимогам.
залишкова вразливість
Несприятлива умова, яка не може бути використана для цільового оцінювання (TOE), але може бути використана зловмисником для порушення функціональних вимог безпеки (SFR) з вищим потенціалом атаки, ніж очікується у робочому середовищі TOE.
потенційна вразливість
підозрювана, але не підтверджена слабкість
модель життєвого циклу
Системний інжиніринг - це структура, що охоплює процеси, дії та завдання, пов’язані з розробкою, експлуатацією та обслуговуванням продукту від визначення вимог до припинення використання.
документація керування конфігурацією
Документація управління конфігурацією (СМ) включає вихідні дані, списки, записи системи, плани та інструкції щодо використання СМ.
докази управління конфігурацією
все, що може бути використано для встановлення впевненості в правильній роботі системи
управління конфігурацією
система управління конфігурацією
набір процедур та інструментів (включаючи їхню документацію), які використовуються
розробником для розробки та підтримки конфігурацій своїх продуктів протягом життєвих циклів
запис системи управління конфігурацією
вихідні дані, створені під час роботи системи керування конфігурацією, що документують
важливі дії з керування конфігурацією
доставка
передача готової цілі оцінки (TOE) із виробничого (3.24) середовища в руки замовника
результат оцінювання
ресурс, який вимагається від спонсора або розробника оцінювачем або уповноваженим
органом з оцінки для виконання одного або кількох заходів з оцінювання
експлуатована вразливість
слабкість у цілі оцінки (TOE), яка може бути використана для порушення функціональних
вимог безпеки (SFR) у робочому середовищі для TOE