Гост р исо/мэк15408—2013

ГОСТ Р ИСО/МЭК 15 408—2013 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (далее — «Общие критерии») — российский аналог международного стандарта ISO/IEC 15 408 — определяет перечень требований, предъявляемых к разработчикам, желающим создать соответствующую систему, и позволяет им подготовиться к оценке разрабатываемого продукта. Эксперты пользуются критериями для проверки готового продукта на соответствие предъявляемым к разработчику требованиям и формируют заключение, которое в дальнейшем служит для пользователя определенного рода гарантией безопасности и отражает, выполняет ли оцененное изделие или система требованиям по безопасности. Иными словами, «Общие критерии» обеспечивают условия для процесса разработки, описания и проверки компьютерной системы.

«Общие критерии» содержат два основных вида требований безопасности:

• 1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
• 2) требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

ГОСТ Р ИСО/МЭК 15 408—2013 состоит из трех частей:

• • часть 1 «Введение и общая модель» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. Здесь вводится понятийный аппарат и определяются принципы формализации предметной области;
• • часть 2 «Функциональные компоненты безопасности» содержит требования к функциональности средств защиты, которые могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в ИС функций безопасности;
• • часть 3 «Компоненты доверия к безопасности» содержит компоненты, семейства и классы доверия к продуктам ИТ, а также критерии оценки для профилей защиты (ПЗ) и заданий по безопасности (ЗБ) и оценочные уровни доверия для определенной в данном стандарте шкалы доверия к объекту оценки (00), которая называется «Оценочные уровни доверия» (ОУД).

По уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении «Общие критерии» — один из наиболее совершенных из существующих в настоящее время стандартов. Он имеет серьезные перспективы для развития, поскольку представляет собой базовый стандарт, содержащий методологию задания требований и оценки безопасности ИТ, а также систематизированный каталог требований безопасности.