1 Область применения 1

2 Нормативные ссылки 2

3 Термины и определения 2

3.1 Термины и определения, общие для всего ОК 2

3.2 Термины и определения, относящиеся к классу ADV 8

3.3 Термины и определения, относящиеся к классу AGD 13

3.4 Термины и определения, относящиеся к классу ALC 14

Рисунок 1 – Терминология, связанная с УК и жизненным циклом продукта 17

3.5 Термины и определения, относящиеся к классу AVA 18

3.6 Термины и определения, относящиеся к классу ACO 18

4 Сокращения 20

5 Краткий обзор 22

5.1 Общая информация 22

5.2 Объект оценки 22

5.3 Пользователи ОК 23

5.4 Части ОК 25

Таблица 1 – Путеводитель по ”Критериям оценки безопасности информационных технологий” 26

5.5 Контекст оценки 26

6 Общая модель 28

6.1 Введение к общей модели 28

6.2 Активы и контрмеры 28

Рисунок 2 – Понятия безопасности и их взаимосвязь 29

Рисунок 3 – Понятия, используемые при оценке, и их взаимосвязь 30

6.3 Оценка 33

7 Доработка требований безопасности для конкретного применения 35

7.1 Операции 35

7.2 Зависимости между компонентами 38

7.3 Расширенные компоненты 39

8 Профили защиты и пакеты 39

8.1 Введение 39

8.2 Пакеты 39

8.3 Профили защиты 40

8.4 Использование ПЗ и пакетов 43

8.5 Многократное использование профилей защиты 44

9 Результаты оценки 45

9.1 Введение 45

Рисунок 5 – Результаты оценки 45

9.2 Результаты оценки ПЗ 46

9.3 Результаты оценки ЗБ/ОО 46

9.4 Утверждение о соответствии 46

9.5 Использование результатов оценки ЗБ/ОО 47

Приложение А (справочное) Спецификация заданий по безопасности 49

Рисунок А.1 – Содержание задания по безопасности 50

Рисунок А.2 – Сопоставление целей безопасности с описанием проблемы безопасности 60

Приложение В (справочное) Спецификация профилей защиты 70

Приложение C (справочное) Руководство по выполнению операций 77

Приложение D (справочное) Соответствие ПЗ 81

Приложение E Библиография 83

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Ч а с т ь 1. Введение и общая модель

Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model

(IDT)

1. Область применения

Настоящая часть ОК устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки, которой посвящены различные части ОК, предназначенного в целом для использования в качестве основы при оценке характеристик безопасности продуктов ИТ.

В данной части ОК представлен краткий обзор всех частей ОК. В данной части ОК описана каждая часть ОК; установлено основное понятие объекта оценки (ОО), контекста оценки, описана целевая аудитория, которой адресованы критерии оценки. Представлены основные положения, необходимые для оценки продуктов ИТ.

В данной части ОК определяются различные операции, посредством которых функциональные компоненты и компоненты доверия, приведенные в ОК-2 и ОК-3, могут быть сформулированы для конкретного применения.

В данной части ОК определяются ключевые понятия профилей защиты (ПЗ), пакетов требований безопасности, а также рассматриваются вопросы, связанные с утверждениями о соответствии; описываются значимость и результаты оценки. В данной части ОК даны инструкции по составу и содержанию заданий по безопасности (ЗБ) и описание структуры компонентов в рамках всей модели. Также дана общая информация о методологии оценки, приведенной в ОМО, и предусмотрена область действия системы оценки.