Приложение В (справочное). Содержание задания по безопасности. Руководящий документ "Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности" (Гостехкомиссия России, 2003 год)

Приложение В

(справочное)

Содержание задания по безопасности

Содержание ЗБ соответствует Приложению В части 1 РД Гостехкомиссии России "Критерии оценки безопасности информационных технологий" и приведено в таблице В1.

Таблица В1.

1. Введение ЗБ

1.1. Идентификация ЗБ

1.2. Аннотация ЗБ

2. Описание изделия ИТ

3. Среда безопасности изделия ИТ

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. Цели безопасности

4.1. Цели безопасности для изделия ИТ

4.2. Цели безопасности для среды изделия ИТ

5. Требования безопасности для изделия ИТ

5.1. Функциональные требования безопасности изделия ИТ

5.2. Требования доверия к безопасности изделия ИТ

5.3. Требования безопасности для среды изделия ИТ

6. Краткая спецификация изделия ИТ

6.1. Функции безопасности изделия ИТ

6.2. Меры обеспечения доверия к безопасности

7. Утверждения о соответствии ПЗ

7.1. Ссылка на ПЗ

7.2. Уточнение ПЗ

7.3. Дополнение ПЗ

8. Обоснование

8.1. Обоснование целей безопасности

8.2. Обоснование требований безопасности

8.3. Обоснование краткой спецификации изделия ИТ

8.4. Обоснование утверждений о соответствии ПЗ

В разделе "Введение ЗБ" идентифицируется ЗБ и изделие ИТ (включая номер версии) и дается аннотация ЗБ в форме, наиболее подходящей для включения в список оцененных (сертифицированных) изделий ИТ.

В раздел ЗБ "Описание изделия ИТ" включается сопроводительная информация об изделии ИТ, предназначенная для пояснения его назначения и требований безопасности. Раздел ЗБ "Описание изделия ИТ" должен также включать описание конфигурации, в которой изделие ИТ подлежит оценке.

В раздел ЗБ "Среда безопасности изделия ИТ" включается описание аспектов среды безопасности изделия ИТ, которые должны учитываться изделием ИТ, в частности, предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), политики безопасности организации, которой должно удовлетворять изделие ИТ.

В раздел ЗБ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены изделием ИТ, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами безопасности в пределах среды изделия ИТ.

В раздел ЗБ "Требования безопасности изделия ИТ" включаются функциональные требования безопасности изделия ИТ, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды изделия ИТ.

В раздел "Краткая спецификация изделия ИТ" включается описание функций безопасности ИТ, реализуемых изделием ИТ и соответствующих специфицированным функциональным требованиям безопасности, а также любых мер доверия к безопасности, соответствующих специфицированным требованиям доверия к безопасности.

В разделе "Утверждения о соответствии ПЗ" идентифицируются ПЗ, о соответствии которым заявляется в ЗБ, а также дополнения или уточнения целей или требований из этих ПЗ.

В разделе ЗБ "Обоснование" демонстрируется, что ЗБ специфицирует полную и взаимосвязанную совокупность требований безопасности ИТ, что соответствующее изделие ИТ учитывает определенные аспекты среды безопасности изделия ИТ, и что функции безопасности изделия ИТ и меры доверия к безопасности соответствуют требованиям безопасности изделия ИТ.

Как и в случае ПЗ (см. Приложение Б), при разработке ЗБ можно отступать от вышеуказанной структуры путем включения дополнительных и исключения необязательных разделов (и/или подразделов) ЗБ.