МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ

ИМ. ПРОФ. М. А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Основы проектирования защищенных инфокоммуникационных систем

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №15

На тему «гост р исо мэк 15408-1-2012»

Направление/специальность подготовки:

10.03.01 Информационная безопасность

Студент:

(Ф.И.О., № группы) (подпись)

Преподаватель:

Шемякин С.Н., доц. каф. ЗСС

(Ф.И.О., должность) (подпись)

Цель работы: Изучить и выписать основные положения из ГОСТ Р ИСО / МЭК 15408-1-2012.

Ход работы

Область применения.

Настоящий стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки, которой посвящены различные части стандарта, предназначенного в целом для использования в качестве основы при оценке характеристик безопасности продуктов ИТ.

В данном стандарте представлен краткий обзор и описание всех частей ИСО/МЭК 15408; опре­делены термины и сокращения, используемые во всех частях ИСО/МЭК 15408; установлено основное понятие объекта оценки (ОО), контекста оценки, описана целевая аудитория, которой адресованы кри­терии оценки. Представлены основные положения, необходимые для оценки продуктов ИТ.

В данном стандарте определяются различные операции, посредством которых функциональные компоненты и компоненты доверия, приведенные в ИСО/МЭК 15408-2 и ИСО/МЭК 15408-3, могут быть доработаны для конкретного применения путем использования разрешенных операций.

В данном стандарте определяются ключевые понятия профилей защиты (ПЗ), пакетов требований безопасности, а также рассматриваются вопросы, связанные с утверждениями о соответствии; описы­ваются выводы и результаты оценки. В данном стандарте даны инструкции по спецификации заданий

по безопасности (ЗБ) и описание структуры компонентов в рамках всей модели. Также дана общая ин­формация о методологии оценки, приведенной в ИСО/МЭК 18045, и области действия системы оценки.

Объект оценки.

ИСО/МЭК 15408 является гибким в отношении того, что оценивается и, таким образом, не при­вязывается, как это обычно понималось, к границам только продуктов ИТ.

Таким образом, в контексте оценки в ИСО/МЭК 15408 используется термин «00» (объект оценки).

ОО определяется как набор программных, программно-аппаратных и/или аппаратных средств, возможно сопровождаемых руководствами.

Хотя бывают случаи, что 0 0 представляет собой продукт ИТ, это не всегда так. 0 0 может быть продуктом ИТ, частью продукта ИТ, набором продуктов ИТ, уникальной технологией, которая может быть никогда не будет реализована в виде продукта, или сочетанием указанных вариантов.

Относительно ИСО/МЭК 15408 четкое соотношение между ОО и любыми продуктами ИТ являет­ся важным только в одном аспекте: оценку ОО, содержащего часть продукта ИТ, не следует ошибочно представлять как оценку продукта ИТ в целом.

Примерами ОО являются:

- прикладная программа;

- операционная система;

- прикладная программа в сочетании с операционной системой;

- прикладная программа в сочетании с операционной системой и рабочей станцией;

- операционная система в сочетании с рабочей станцией;

- интегральная схема смарт-карты;

- локальная вычислительная сеть, включая все терминалы, серверы, сетевое оборудование и программные средства;

- приложение базы данных за исключением программных средств удаленного клиента, обычно ассоциируемых с приложением базы данных.

Различные представления ОО.

В ИСО/МЭК 15408 ОО может встречаться в нескольких представлениях, таких как (для программ­ного ОО):

- список файлов в системе управления конфигурацией;

- отдельная мастер-копия, которая была только что скомпилирована;

- коробка, содержащая компакт-диск и руководства, готовая для поставки потребителю;

- установленная и функционирующая версия.

Все из перечисленного считается ОО: где в дальнейшем в ИСО/МЭК 15408 используется термин «ОО», его конкретное представление определяется из контекста.

Различные конфигурации ОО.

Обычно продукты ИТ могут быть сконфигурированы различными способами путем включения или отключения различных опций при инсталляции. Так как в процессе оценки по ИСО/МЭК 15408 бу­дет определяться, удовлетворяет ли ОО определенным требованиям, данная гибкость конфигурации может привести к проблемам, так как все возможные конфигурации ОО должны удовлетворять этим требованиям. По этим причинам частыми являются случаи, когда руководства как часть ОО строго

ограничивают возможные конфигурации ОО. Таким образом, руководства ОО могут отличаться от об­щих руководств для продукта ИТ.

Примером является продукт ИТ «Операционная система». Этот продукт может быть сконфигури­рован различными способами (например, типы пользователей, количество пользователей, типы разрешенных/неразрешенных внешних подключений, включение/отключение опций и др.)

Если такой продукт ИТ должен быть ОО и оценен на соответствие обоснованному набору требо­ваний, его конфигурацию следует намного более тщательно контролировать, так как многие опции (на­пример, разрешение всех типов внешних подключений или отсутствие необходимости аутентификации

администратора системы) приведут к тому, что ОО не будет удовлетворять требованиям.

По этой причине нормальным бы являлось дифференциация руководств для продукта ИТ (допу­скающих много конфигураций) и руководств для ОО (допускающих только одну конфигурацию или толь­ко те конфигурации, которые не отличаются относительно способов обеспечения безопасности).

Если руководства ОО допускают более одной конфигурации, то все эти конфигурации вместе именуются «ОО», и каждая такая конфигурация должна удовлетворять требованиям, предъявляемым к ОО.