РАЗРАБОТКА ЗАЩИЩЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Лекция 3. Критерии оценки защищенности информационных систем. ГОСТ Р ИСО/МЭК
ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
ГОСТР ИСО/МЭК 15408-3-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 3. КОМПОНЕНТЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ
ГОСТР ИСО/МЭК 15408-3-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 3. КОМПОНЕНТЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ
373.27K
Category: informaticsinformatics

5_2026_РЗАС_Лекция_5_СабельниковСА

1. РАЗРАБОТКА ЗАЩИЩЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Лекция 3. Критерии оценки защищенности информационных систем. ГОСТ Р ИСО/МЭК

15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ
КОМПОНЕНТЫ БЕЗОПАСНОСТИ. ЧАСТЬ 3. КОМПОНЕНТЫ ДОВЕРИЯ К
БЕЗОПАСНОСТИ
ст. преподаватель кафедры «Защита информации»
Сабельников Сергей Александрович
Челябинск, 2026

2. ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ

БЕЗОПАСНОСТИ
ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. МЕТОДЫ И СРЕДСТВА
ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ.
КРИТЕРИИ
ОЦЕНКИ
БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
БЕЗОПАСНОСТИ.
О чем стандарт?
• Каталог функциональных компонентов безопасности, которые могут быть
предъявлены к объекту оценки (ОО). ОО – набор программных, аппаратнопрограммных и/или аппаратных средств.
• Для оценки ОО применяется определенный набор функциональных требований
(ФТБ). В совокупности те части ОО, которые направлены на корректную
реализацию ФТБ, определяются как функции безопасности объекта оценки
(ФБО).

3. ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ

БЕЗОПАСНОСТИ
В ГОСТ Р ИСО/МЭК 15408-2-2013
наименьший
набор
требований
называется “компонентом”. Компоненты
образуют “семейства” - множество
компонент, которые направлены на
достижения сходных целей, но отличаются
акцентами и строгостью. В свою очередь
семейства образуют “классы” - множество
семейств,
объединенных
общим
назначением.

4. ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ

БЕЗОПАСНОСТИ
Классы:
• FAU Аудит безопасности. Аудирование безопасности включает в себя распознавание, регистрацию, хранение и
анализ информации, относящейся к системе безопасности. Записи аудита, получаемые в результате, могут
быть проанализированы, чтобы определить, какие действия, относящиеся к безопасности, происходили, и кто
из пользователей за них отвечает.;
• FCO Связь. Обеспечивает гарантию, что передающий информацию не сможет отказаться от посланного
сообщения, а принимающий – от его получения;
• FCS Криптографическая поддержка. Класс содержит семейства, определяющие требования по управлению
криптографическими ключами и операциями. Класс FCS применяют, когда объект оценки имеет
криптографические функции, которые могут быть реализованы аппаратными, программно-аппаратными и/или
программными средствами;
• FDP Защита данных пользователя. Класс содержит семейства, определяющие требования к функциям
безопасности системы и политикам безопасности, относящимся к защите данных пользователя;
• FIA Идентификация и аутентификация. Требования данного класса имеют дело с определением и
верификацией подлинности пользователей, определением их полномочий взаимодействовать с системой, а
также с правильной привязкой атрибутов безопасности с каждым пользователем;

5. ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ

БЕЗОПАСНОСТИ
Классы:
• FMT Управление безопасностью. Класс содержит семейства, определяющие требования по управлению
атрибутами и данными функциями безопасности, а также по управлению ролями безопасности;
• FPR Приватность работы в системе. Реализация требований данного класса обеспечит защиту пользователя от
раскрытия личности и злоупотреблений его полномочиями другими пользователями;
• FPT Защита функций безопасности объекта оценки или надежность средств защиты. Содержит семейства
функциональных требований, которые относятся к целостности и управлению механизмами,
обеспечивающими функции безопасности;
• FRU Контроль за использованием ресурсов. Класс обеспечивает требования, которые поддерживают
доступность требуемых ресурсов, а также обеспечивают защиту в случае блокировки функциональных
возможностей, вызванных отказами системы;
• FTA Контроль доступа к системе. Класс определяет функциональные требования по идентификации и
аутентификации для контроля над установленным сеансом пользователя;
• FTP Доверенный путь/ канал. Класс обеспечивает требования:
• для доверенного коммуникационного пути между пользователем и функциями безопасности системы;
• для доверенного канала связи между функциями безопасности системы.

6. ГОСТ Р ИСО/МЭК 15408-2-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ

БЕЗОПАСНОСТИ
Разработчику продукта не требуется включать в задание по безопасности все семейства всех классов. Может
быть выбрано количество, существенно меньшее половины всех имеющихся семейств функциональных классов
(источником, определения необходимых классов может выступать профиль защиты).,
Зависимости - это компоненты, связанные с данным и обязательно необходимые для выполнения
указанных требований. Т.е. если компонент А зависит от компонента Б, то мы должны заложить в наш
набор требований и А, и Б, в противном случае мы не будем выполнять требования.

7. ГОСТР ИСО/МЭК 15408-3-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 3. КОМПОНЕНТЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ

В стандарте уже сгруппированы часть требований в пакеты.
Оценочные уровни доверия являются такими пакетами.
ОУД1 - самый низкий уровень доверия, а ОУД7 - самый
высокий. Пакет, как совокупность требований, содержит
множество компонент, отобранных из множества семейств,
включенных в множество классов.

8. ГОСТР ИСО/МЭК 15408-3-2013. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 3. КОМПОНЕНТЫ ДОВЕРИЯ К БЕЗОПАСНОСТИ

Оценочный уровень доверия (ОУД) обеспечивает доверие к разрабатываемому продукту посредством
детализированного задания безопасности и анализа выполнения функциональных требований безопасности из
данного задания безопасности в готовом продукте, с использованием дополнительной документации:
• функциональной спецификации,
• спецификации интерфейсов,
• описания базового модульного проекта и подмножества реализации,
• руководства пользователя по эксплуатации.
Такой анализ поддерживается независимым тестированием функциональных требований, свидетельствами
разработчика о самостоятельном тестировании, основанными на функциональной спецификации и проекте ОО,
выборочным независимым подтверждением результатов тестирования разработчика и анализом уязвимостей
(основанных на изучении оценщиком предоставленной документации на ОО).
Помимо этого ОУД обеспечивает доверие посредством использования мер управления средой разработки и
дополнительного управления конфигурацией объекта оценки, включая автоматизацию процесса и свидетельства
безопасных процедур поставки.
English     Русский Rules