- •Основы проектирования защищенных инфокоммуникационных систем
- •Система разработки и постановки продукции на производство
- •Сокращения
- •Термины и определения
- •Эскизный проект - вид проектной конструкторской документации, содержащей принципиальные конструкторские решения, дающие общее
- •Требования к построению, содержанию и изложению ТЗ на ОКР
- •ВТЗ на ОКР рекомендуется предусматривать следующие положения:
- •Разделы ОКР
- •В подразделе «Состав изделия» перечисляют основные СЧ изделия или приводят требования к составу
- •В подразделе «Конструктивные требования» устанавливают совокупность требований к конструкции создаваемого изделия, соблюдение которых
- •Вподразделе «Требования электромагнитной совместимости» устанавливают требования, обеспечивающие их электромагнитную совместимость, помехоустойчивость, а также
- •Вподразделе «Требования надежности» в соответствии с порядком
- •Вподразделе «Требования эргономики, обитаемости и технической эстетики» устанавливают:
- •В подразделе «Требования к эксплуатации, хранению, удобству технического обслуживания и ремонта» устанавливают требования
- •В подразделе «Транспортирование» устанавливают требования, определяющие приспособленность изделия к перевозке, и указывают:
- •В подразделе «Требования безопасности» устанавливают требования обеспечивающие безопасность персонала, местного населения на всех
- •В разделе «Технико-экономические требования» устанавливают требования обеспечивающие экономическую целесообразность создания изделия по критерию
- •Вразделе «Требования к видам обеспечения» устанавливают требования и нормы по видам обеспечения изделия
- •В подразделе «Требования к метрологическому обеспечению» устанавливают количественные значения показателей метрологического обеспечения изделия,
- •Вподразделе «Требования к диагностическому обеспечению» устанавливают:
- •В подразделе «Требования к математическому, программному и информационно лингвистическому обеспечению» устанавливают требования к:
- •Вразделе «Требования к учебно-тренировочным средствам» устанавливают:
- •В разделе «Требования к документации» устанавливают требования к: - конструкторской документации; - конструкторским
- •Вразделе «Порядок выполнения и приемки этапов ОКР» указывают:
- •НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
- •Область применения
- •Различные конфигурации ОО
- •Контекст оценки
- •Активы и контрмеры
- •Понятия безопасности и их взаимосвязь
- •Поскольку за активы могут нести ответственность их владельцы, то им следует иметь возможность
- •Понятия, используемые при оценке, и их взаимосвязь
- •Достаточность контрмер
- •Корректность ОО
- •Корректность среды функционирования
- •Задание по безопасности (ЗБ)
- •Содержание задания по безопасности
- •Как следует использовать ЗБ
- •Угрозы
- •Политика безопасности организации (ПБОр)
В подразделе «Требования к математическому, программному и информационно лингвистическому обеспечению» устанавливают требования к:
-математическому обеспечению;
-программному обеспечению должны задаваться с учетом требований стандартов ЕСПД;
-информационно-лингвистическому обеспечению, требования к составу и структуре баз данных, используемой информации.
В подразделе также устанавливают требования по обеспечению безопасности информации в части:
-требований к программным средствам обеспечения безопасности обрабатываемой, хранимой и передаваемой по каналам связи информации;
-разработки программных средств и способов защиты информации, обрабатываемой и хранимой в ЭВТ изделия или передаваемой по каналам связи, от несанкционированного доступа;
-требований к сертификации разрабатываемых программных средств и способов защиты информации.
Вразделе «Требования к учебно-тренировочным средствам» устанавливают:
-перечень учебно-тренировочных средств;
-требования к комплексным и специализированным тренажерам по конструктивному исполнению, степени имитации реальной обстановки эксплуатации, принципу действия, габариту, массе и др.;
-требования к моделям, макетам, стендам, учебно-техническим плакатам;
-этапы, порядок и сроки разработки, изготовления, представления учебно- тренировочных средств на приемочные испытания и поставки их потребителю.
Вразделе «Специальные требования» устанавливают требования к:
-виду и составу специального оборудования и оснастки;
-специальному ремонтно-технологическому оборудованию;
-разработке средств обеспечения испытаний и моделирования изделия, в том числе средств имитации, объективного контроля;
-методам испытаний изделия;
-видам экспортного исполнения изделия;
-патентной чистоте и патентоспособности изделия и его СЧ.
В разделе «Требования к документации» устанавливают требования к: - конструкторской документации; - конструкторским документам; -технологической документации.
В разделе «Этапы выполнения ОКР» указывают наименования обязательных этапов. В перечень должны быть включены:
- проведение поэтапных патентных исследований; - анализ фонда НД и мероприятий по нормативно-техническому обеспечению;
- экспертиза проектной и РКД по реализации заданных требований; - оценка соответствия изделия заданным требованиям по надежности, заданным
требованиям к живучести, требованиям к эргономике, обитаемости и эстетике; - проверка выполнения заданных требований транспортирования изделия; - проведение обоснования целесообразности продолжения разработки изделия,
расчетов и анализа выполнения заданных технико-экономических требований и представление их результатов заказчику; - отработка постановки задач и обоснование решений по математическому,
программному и информационно-лингвистическому обеспечению; - проверка конструктивных запасов и апробирование норм при испытаниях по
основным параметрам изделия.
Вразделе «Порядок выполнения и приемки этапов ОКР» указывают:
-правила и порядок выполнения и приемки этапов ОКР;
-перечень документов и исходных данных для выполнения ОКР;
-необходимость разработки, изготовления и испытания макетов;
-количество опытных образцов изделий;
-место проведения испытаний опытных образцов изделий;
-номенклатуру или вид средств эксплуатационного обеспечения испытаний;
-порядок разработки и утверждения плана совместных работ по ОКР;
-порядок разработки, согласования и утверждения программы обеспечения стойкости, метрологического обеспечения, обеспечения надежности;
-порядок разработки и утверждения «Инструкции по перевозке образца», плана мероприятий по каталогизации, программы работ по стандартизации;
-основных соисполнителей;
-требования к гарантийным обязательствам поставщика;
-состав, количество комплектов и перечень рассылки ОНТД, представляемой по окончании этапов ОКР и ОКР в целом;
-порядок разработки отчета о патентных исследованиях;
-требования к разработке РКД в соответствии с требованиями стандартов ЕСКД;
-необходимость разработки и требования к ремонтной документации;
-требования к разработке ЭД в соответствии с ГОСТ 2.601;
-Требования проведения технико-экономической оценки результатов ОКР;
-порядок рассмотрения ЭП (ТП) осуществляют без назначения комиссии заказчика.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ГОСТ Р ИСО/МЭК 15408-1-2012
Область применения
Настоящий стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки.
Вданном стандарте определяются операции для доработки функциональных компонентов и компонентов доверия для конкретного применения путем использования разрешенных операций. Так же в нём определяются ключевые понятия профилей защиты, пакетов требований безопасности и рассматриваются вопросы, связанные с утверждениями о соответствии.
Вданном стандарте даны инструкции по спецификации заданий по безопасности и описание структуры компонентов в рамках всей модели и общая информация о методологии оценки.
Вконтексте оценки в стандарте используется термин "ОО" (объект оценки), который определяется как набор программных, программно- аппаратных и/или аппаратных средств, возможно сопровождаемых руководствами.
Примерами ОО являются:
-прикладная программа;
-операционная система;
-прикладная программа в сочетании с операционной системой;
-операционная система в сочетании с рабочей станцией;
-интегральная схема смарт-карты;
-локальная вычислительная сеть, включая все терминалы, серверы, сетевое оборудование и программные средства;
Различные конфигурации ОО
Обычно продукты ИТ могут быть сконфигурированы различными способами путем включения или отключения различных опций при инсталляции. Данная гибкость конфигурации может привести к проблемам, так как все возможные конфигурации ОО должны удовлетворять этим требованиям. Именно из-за этого часты случаи строгого ограничения возможности конфигурации ОО. Таким образом, руководства ОО могут отличаться от общих руководств для продукта ИТ. Примером является продукт ИТ "Операционная система".
Для кого предназначен стандарт
В оценке характеристик безопасности ОО заинтересованы в основном три группы пользователей: потребители, разработчики и оценщики.
Результаты оценки помогают потребителям решить, удовлетворяет ли ОО их потребности в безопасности. Эти потребности обычно определяются как следствие анализа рисков и направленности политики безопасности.
Стандарт предназначен для поддержки разработчиков при подготовке к оценке своих ОО и содействии в ее проведении, а также при установлении требований безопасности, которым должны удовлетворять эти ОО.
Стандарт содержит критерии, предназначенные для использования оценщиками ОО при формировании заключения о соответствии объектов оценки предъявленным к ним требованиям безопасности.
Контекст оценки
Для достижения большей сравнимости результатов оценок их следует проводить в рамках официальной системы оценки, которая устанавливает стандарты, контролирует качество оценок и определяет нормы.
Cогласованность правовой базы различных органов оценки является необходимым условием достижения взаимного признания результатов оценок.
Для достижения большей сравнимости результатов оценок необходимо использовать общую методологию, приведённую в стандарте. Это позволяет достичь повторяемости и объективности результатов. Многие из критериев оценки требуют привлечения экспертных решений и базовых знаний. Для повышения согласованности выводов результаты могут быть представлены на сертификацию.
Процесс сертификации представляет собой независимую экспертизу результатов оценки.
Активы и контрмеры
Безопасность связана с защитой активов(сущности, представляющие ценность для кого-либо). Примеры активов включают:
- содержание файла или сервера; - подлинность голосов, поданных на выборах;
- доступ к средствам ограниченного доступа.
Среда, в которой размещаются эти активы, называется средой функционирования. Примерами среды функционирования являются:
- компьютерное помещение в банке; - компьютерная сеть, подключенная к Интернету;
- локальная вычислительная сеть (ЛВС); Многие активы представлены в виде информации, которая хранится,
обрабатывается и передается продуктами ИТ таким образом, чтобы удовлетворить требования владельцев этой информации. Владельцы информации вправе требовать, чтобы доступность, распространение и модификация любой такой информации строго контролировались и активы были защищены от угроз контрмерами.