СТ РК ISO/IEC 15408-3-2024
Информационная безопасность, кибербезопасность и защита конфиденциальности
Критерии оценки безопасности информационных технологий
Часть 3
Компоненты обеспечения безопасности
(ISO/IEC 15408-3:2022 Information security, cybersecurity and privacy protection.
Evaluation criteria for IT security. Part 3: Security assurance components, IDT)
Комитет технического регулирования и метрологии
Министерства торговли и интеграции Республики Казахстан
(Госстандарт)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма доверия
6. Компоненты обеспечения безопасности
7. Класс АРЕ: Оценка профиля защиты
8. Класс AСE: Оценка конфигурации ПЗ
9. Класс ASE: Оценка ЗБ
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс АТЕ: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс АСО: Композиция
Приложение А (информационное) Разработка (ADV)
Приложение В (информационное) Композиция (АСО)
Приложение С (информационное) Перекрестные ссылки между компонентами доверия
Библиография
Приложение В.А (информационное) Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств
Введение
Компоненты обеспечения безопасности, как установлено в настоящем стандарте, являются основой для требований обеспечения безопасности, выраженных в пакете обеспечения безопасности, профиле защиты (ПЗ), модуле ПЗ, конфигурации ПЗ или задание по безопасности (ЗБ).
Данные требования устанавливают стандартный способ выражения требований доверия к объекту оценки (ОО). Настоящий стандарт содержит набор компонентов доверия, семейств и классов. Настоящий стандарт также определяет критерии оценки для ПЗ, конфигураций ПЗ, модулей ПЗ и ЗБ.
Пользователями настоящего стандарта являются потребители, разработчики, технические рабочие группы, оценщики безопасных продуктов информационных технологий (IT-продуктов) и другие. ISO/IEC 15408-1:2022, раздел 5 предоставляет дополнительную информацию о целевой аудитории серии ISO/IEC 15408, а также об использовании серии ISO/IEC 15408 группами, составляющими целевую аудиторию. Данные группы могут использовать настоящий стандарт следующим образом:
а) Потребители могут использовать настоящий стандарт при выборе компонентов для выражения требований доверия, чтобы удовлетворить цели безопасности, выраженных в ПЗ или ЗБ, и при определении требуемых уровней доверия к безопасности ОО.
b) Разработчики, которые при построении ОО учитывают существующие или предполагаемые требования безопасности потребителей, ссылаются на настоящий стандарт при интерпретации требований доверия и определении подходов к обеспечению доверия к ОО.
c) Оценщики, которые используют требования доверия, определенные в настоящем стандарте, в качестве обязательного изложения критериев оценки при определении доверия к ОО и при оценке ПЗ и ЗБ.
