Переход ФСТЭК России от «классической» сертификации к новым нормативным документам, основанным на методологии стандарта «Общие критерии», потребует разработки методической документации в помощь как разработчикам средств защиты информации, так и оценщикам (испытательным лабораториям). Приведу небольшой анализ существующих документов, которые могут быть использованы разработчиками и оценщиками при подготовке и проведении сертификации.
|
Наименование документа |
Краткое описание |
Российский аналог |
| ISO/IEC 15408-1:2009. Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model | Критерии оценки, базовые документы стандарта в соответствии с которыми предъявляются требований к объектам сертификации. | ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. |
| ISO/IEC 15408-2:2008. Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components | ГОСТ Р ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. | |
| ISO/IEC 15408-3:2008. Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components | ГОСТ Р ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. | |
| ISO/IEC 18045:2008. Information technology — Security techniques — Methodology for IT security evaluation | Методология оценки, содержит описание необходимых действий оценщика при проведении сертификационных испытаний. | ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. |
| ISO/IEC TR 15446:2009. Information technology — Security techniques — Guide for the production of Protection Profiles and Security Targets | В документе приведены сведения по разработке профилей защиты и заданий по безопасности. | ГОСТ Р ИСО/МЭК ТО 15446-2008Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности |
| ISO/IEC TR 20004:2012. Information technology — Security techniques — Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045 | В документ приведены сведения о проведении анализа уязвимостей с использованием открытых источников информации (например, баз CVE, NVD и т.д.) | Отсутствует |
| ISO/IEC WD TR 30127. Information technology — Security techniques — Detailing software penetration testing under ISO/IEC 15408 and ISO/IEC 18045 vulnerability analysis | В документе приведены сведения о проведении анализа уязвимостей и тестирования на проникновение, требуемых при проведении оценки (в соответствии с нормативными документами ФСТЭК — класс «Оценка уязвимостей» (AVA)). | Отсутствует |
| ISO/IEC TR 19791:2010. Information technology — Security techniques — Security assessment of operational systems. | Документ посвящен оценке безопасности информационных (автоматизированных) систем, приведены организационные требования по защите информации. В документе приведены требования к заданию по безопасности и профилям защиты на информационные системы. | ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. |
| ISO/IEC DIS 30111. Information technology — Security techniques — Vulnerability handling processes | Стандарт может быть полезен поставщикам и разработчикам ПО при работе с сообщениями об обнаруженных уязвимостях в их продуктах. | Отсутствует |
| ISO/IEC 29147. Vulnerability Disclosure | Отсутствует |
В данном анализе рассмотрены только основные существующие документы ISO/IEC, которые могут использоваться при оценке средств защиты информации.
Следует отметить, что большое количество полезных документов может быть найдено на порталах commoncriteriaportal.org и ФСТЭК России.
.