Приложение Б (справочное). Содержание профиля защиты. Руководящий документ "Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности" (Гостехкомиссия России, 2003 год)

Приложение Б

(справочное)

Содержание профиля защиты

Содержание ПЗ соответствует Приложению Б части 1 РД Гостехкомиссии России "Критерии оценки безопасности информационных технологий" и приведено в таблице Б1.

Таблица Б1.

1. Введение ПЗ

1.1. Идентификация ПЗ

1.2. Аннотация ПЗ

2. Описание изделия ИТ

3. Среда безопасности изделия ИТ

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. Цели безопасности

4.1. Цели безопасности для изделия ИТ

4.2. Цели безопасности для среды изделия ИТ

5. Требования безопасности изделия ИТ

5.1. Функциональные требования безопасности изделия ИТ

5.2. Требования доверия к безопасности изделия ИТ

5.3. Требования безопасности для среды изделия ИТ

6. Замечания по применению

7. Обоснование

7.1. Обоснование целей безопасности

7.2. Обоснование требований безопасности

В разделе "Введение ПЗ" идентифицируется ПЗ и дается его аннотация в форме, наиболее подходящей для включения в каталоги и реестры ПЗ.

В раздел "Описание изделия ИТ" включается сопроводительная информация об изделии ИТ (или типе изделия ИТ), предназначенная для пояснения его назначения и требований безопасности.

В раздел ПЗ "Среда безопасности изделия ИТ" включается описание аспектов среды безопасности изделия ИТ, которые должны учитываться для изделия ИТ, в частности - детальное описание предположений безопасности, определяющих границы среды безопасности, угроз активам, требующим защиты (включая описание этих активов), и политики безопасности организации, которой должно удовлетворять изделие ИТ.

В раздел ПЗ "Цели безопасности" включается краткое изложение предполагаемой реакции на аспекты среды безопасности, как с точки зрения целей безопасности, которые должны быть удовлетворены изделием ИТ, так и с точки зрения целей безопасности, которые должны быть удовлетворены ИТ- и не-ИТ-мерами безопасности в пределах среды изделия ИТ.

В раздел ПЗ "Требования безопасности изделия ИТ" включаются функциональные требования безопасности изделия ИТ, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды изделия ИТ.

В раздел ПЗ "Замечания по применению ПЗ" может включаться любая дополнительная информация, которую разработчик ПЗ считает полезной. Замечания по применению могут быть распределены по соответствующим разделам ПЗ.

В разделе ПЗ "Обоснование" демонстрируется, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности изделия ИТ, и что соответствующее изделие ИТ учитывает идентифицированные аспекты среды безопасности. Раздел "Обоснование" может быть оформлен в виде отдельного документа.

В ПЗ могут быть включены дополнительные разделы, которые могут быть необходимы для предоставления полезной информации, например:

а) раздел "Введение ПЗ" может включать подраздел, описывающий организацию ПЗ, а также содержать ссылки на другие ПЗ и другие документы;

б) раздел "Среда безопасности изделия ИТ" может включать отдельные подразделы для различных доменов в ИТ-среде для изделия ИТ;

в) раздел "Требования безопасности изделия ИТ" может быть расширен за счет включения, где необходимо, требований безопасности для не-ИТ-среды безопасности изделия ИТ.

В случае если подраздел не используется (например, политика безопасности организации, требования безопасности ИТ для среды изделия ИТ), необходимо включить в ПЗ соответствующее пояснение.