Руководящий документ "Безопасность информационных технологий. Руководство по формированию семейств профилей защиты" (Гостехкомиссия России, 2003 г.) стр. 2

  1. Документы
546 × 222 пикс.     Открыть в новом окне
Функциональный пакет группы разрабатывается в соответствии с Руководством по разработке профилей защиты и заданий по безопасности и регистрируется в соответствии с РД Гостехкомиссии России "Руководство по регистрации профилей защиты".
5.5 Исходя из ценности (секретности/конфиденциальности, важности, стоимости) активов, изделия ИТ классифицируются по классам защищенности. Для каждого класса защищенности устанавливается базовый (минимальный) пакет доверия (см. рисунок 4) и специфицируется минимальный уровень стойкости (высокий, средний или базовый) для функций безопасности, реализуемых вероятностными или перестановочными механизмами (такими, например, как механизм паролей, хэширование).
546 × 222 пикс.     Открыть в новом окне
Обязательные функциональные требования для каждого класса защищенности определяются спецификой изделия ИТ, составом учитываемых угроз, предположений безопасности и политик безопасности организации.
5.6 Соответствие классов защищенности изделий ИТ, базовых пакетов доверия и минимального уровня стойкости функций безопасности приведено в таблице 1.
Таблица 1

Соответствие классов защищенности изделий ИТ, базовых пакетов доверия и минимального уровня стойкости функций безопасности

Класс защищенности изделий ИТ
Базовый (минимальный) пакет доверия 
Минимальный уровень стойкости функций безопасности
Оценочный уровень доверия
Дополнительные требования доверия к безопасности ИТ(из РД "Критерии оценки безопасности информационных технологий")
1 (первый)
ОУД6
ALC_FLR.3 "Систематическое устранение недостатков"AVA_CCA.3 "Исчерпывающий анализ скрытых каналов"
Высокая СФБ
2 (второй)
ОУД5
ALC_FLR.3 "Систематическое устранение недостатков"AVA_CCA.2 "Систематический анализ скрытых каналов"AVA_VLA.4 "Высоко стойкий"
Высокая СФБ
3 (третий)
 ОУД4
ADV_IMP.2 "Реализация ФБО"ADV_INT.1 "Модульность"ALC_FLR.2 "Процедуры сообщений о недостатках"ATE_DPT.2 "Тестирование: проект нижнего уровня"AVA_CCA.1 "Анализ скрытых каналов"AVA_VLA.3 "Умеренно стойкий"
Средняя СФБ
 4 (четвертый) 
ОУД1
 
Базовая СФБ

6. Разработка профилей защиты семейства

6.1 Профиль защиты изделий ИТ определенной группы для конкретного класса защищенности разрабатывается в два этапа.
6.2 На первом этапе (см. рисунок 5) формируемый ПЗ наследует характеристики группы и класса, то есть в него включается функциональный пакет группы и базовый пакет доверия соответствующего класса защищенности. Кроме того, для функций безопасности, реализуемых вероятностными или перестановочными механизмами, специфицируется уровень СФБ не ниже минимального уровня СФБ, определенного для данного класса защищенности.
553 × 329 пикс.     Открыть в новом окне
6.3 На втором этапе (см. рисунок 6) в ПЗ, исходя из результатов анализа рисков, угроз, политики безопасности организации и предположений о среде функционирования изделия ИТ, включаются все необходимые дополнительные функциональные требования и требования доверия (взятые из ОК либо сформулированные в явном виде).
563 × 373 пикс.     Открыть в новом окне

7. Включение профилей защиты в семейство. Модификация семейств

7.1 В семейство профилей защиты включаются ПЗ, разработанные в соответствии с требованиями РД Гостехкомиссии России "Положение по разработке профилей защиты и заданий по безопасности" и раздела 6 настоящего РД и прошедшие регистрацию в соответствии с РД Гостехкомиссии России "Руководство по регистрации профилей защиты".
7.2 Модификация семейства профилей защиты изделий ИТ производится в целях поддержания адекватности заложенных в ПЗ требований безопасности уровню развития ИТ, а также их адаптации к изменяющимся условиям эксплуатации изделий ИТ.
7.3 Модификация семейства профилей защиты изделий ИТ может осуществляться следующими основными способами:
- внесением изменений в соответствующие профили защиты, включенные ранее в состав семейства;
- заменой соответствующих профилей защиты, включенных ранее в состав семейства, на новые ПЗ;
- добавлением в семейство новых профилей защиты;
- добавлением новой группы изделий ИТ в структуру семейства.

Приложение А (обязательное)

Для защиты информации, ценность которой выражается в метрике "секретность/конфиденциальность", устанавливаются следующие классы защищенности изделий ИТ.
Первый класс применяется при защите информации с грифом "ОСОБОЙ ВАЖНОСТИ".
Второй класс защищенности изделий ИТ достаточен при защите информации с грифом "СОВЕРШЕННО СЕКРЕТНО".
Третий класс защищенности изделий ИТ достаточен при защите информации с грифом "СЕКРЕТНО".
Четвертый класс защищенности изделий ИТ достаточен при защите конфиденциальной информации.
Содержание
Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 9294-93 "Информационная технология. Руководство по управлению документированием программного обеспечения" (утв. постановлением Госстандарта РФ от 20 декабря 1993 г. N 260)
Руководящий документ по стандартизации РД 50-34.698-90 "Методические указания "Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов" (утв. и в
Руководящий документ РД 52.10.243-92 "Руководство по химическому анализу морских вод" (утв. решением Комитета по гидрометеорологии и мониторингу окружающей среды от 28 апреля 1992 г.)
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2011 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (утв. приказом Федерального агентства по техническому регулированию и метрологии
Базовые требования к технологии подготовки краткосрочных прогнозов погоды Руководящий документ РД 52.27.723-2009 (утв. приказом Росгидромета от 1 февраля 2010 г. N 30)