СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
АННОТИРОВАННЫЙ УКАЗАТЕЛЬ СТАНДАРТОВ
1. СТБ 34.101.1-2004 (ИСО/МЭК 15408-1:1999) «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
Настоящий стандарт устанавливает:
общие положения по применению критериев оценки безопасности информационных технологий;
укрупненные схемы проектирования профилей защиты и заданий по безопасности;
общую модель разработки и оценки безопасности продуктов и систем информационных технологий.
Положения настоящего стандарта распространяются на заказчиков (потребителей), разработчиков, экспертов (испытателей), расположенных на территории Республики Беларусь, занимающихся заданием требований безопасности, разработкой и испытанием продуктов и систем информационных технологий, создаваемых с использованием методической базы Общих критериев.
В настоящем стандарте рассматривается защита информации от несанкционированного раскрытия, модификации или потери возможности ее использования. Категории защиты, соответствующие этим видам нарушения безопасности, называются конфиденциальностью, целостностью и доступностью. Настоящий стандарт применяется во всех сферах информационных технологий, касающихся их безопасности. Нарушение безопасности обусловлено угрозами информации, возникающими в результате преднамеренных и случайных действий человека или процесса.
Настоящий стандарт применим к аппаратным, программно-аппаратным и программным средствам безопасности информационных технологий. Если отдельные аспекты оценки применимы только для определенных способов реализации средства, то это отмечается при формулировании критерия.
Некоторые вопросы, связанные с безопасностью, не вошли в настоящий стандарт, поскольку они требуют привлечения других методов оценки или являются граничными.
В настоящем стандарте не рассматриваются:
а) критерии оценки безопасности, касающиеся административных мер безопасности, непосредственно не связанных с мерами безопасности информационных технологий;
б) описание схемы и методов оценки, методологии и процесса сертификации;
в) критерии оценки физических аспектов техногенного характера безопасности информационных технологий;
г) критерии оценки административных и правовых аспектов безопасности;
д) процедуры использования результатов оценки при аттестации объектов и систем информационных технологий;
е) критерии оценки качества криптоалгоритмов. Если требуется независимая оценка свойств криптоалгоритмов, содержащихся в объекте, то схема оценки должна соответствовать настоящему стандарту.
2. СТБ 34.101.2-2004 (ИСО/МЭК 15408-2:1999) «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»
Функциональные требования безопасности.
Настоящий стандарт устанавливает:
- структуры класса, семейства и компонента функциональных требований безопасности продуктов и систем информационных технологий;
- функциональные требования безопасности, распределенные по классам, семействам и компонентам.
Положения настоящего стандарта распространяются на заказчиков (потребителей), разработчиков, экспертов (испытателей), расположенных на территории Республики Беларусь, занимающихся заданием требований безопасности, разработкой и испытанием продуктов и систем информационных технологий, создаваемых с использованием методической базы Общих критериев.
Заказчики (потребители) должны использовать настоящий стандарт при задании функциональных требований в интересах решения задач безопасности, сформулированных в профиле защиты или в задании по безопасности.
Разработчики должны использовать настоящий стандарт как стандартизированный метод уяснения сущности функциональных требований, так и как базис для последующего выбора средств безопасности объекта и механизмов реализации этих требований.
Эксперты должны использовать настоящий стандарт при:
- проверке соответствия функциональных требований безопасности объекта, заданных в профиле защиты или задании по безопасности, задачам безопасности информационных технологий;
-проверке полноты и методов учета зависимостей между функциональными компонентами;
- определении того, удовлетворяет ли конкретный объект заданным требованиям безопасности.
Функциональные требования безопасности, включенные в настоящий стандарт, не предназначены для окончательного решения всех задач безопасности информационных технологий, при необходимости разработчики профилей защиты и заданий по безопасности могут использовать не вошедшие в настоящий стандарт дополнительные требования безопасности. Настоящий стандарт предлагает совокупность хорошо продуманных функциональных требований безопасности, которые могут применяться при создании доверенных продуктов или систем ИТ.
3. СТБ 34.101.3-2004 (ИСО/МЭК 15408-3:1999) «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть З. Гарантийные требования безопасности»
Настоящий стандарт устанавливает:
- структуры классов, семейств и компонентов гарантии безопасности и уровней гарантии оценки
продуктов и систем информационных технологий;
- гарантийные требования безопасности, распределенные по классам, семействам и компонентам
гарантии, а также по классам и компонентам уровней гарантии оценки;
- критерии оценки профиля защиты и задания по безопасности.
Положения настоящего стандарта распространяются на заказчиков (потребителей), разработчиков, экспертов (испытателей), расположенных на территории Республики Беларусь, занимающихся заданием требований безопасности, разработкой и испытанием продуктов и систем информационных технологий, создаваемых с использованием методической базы Общих критериев.
4. СТБ 34.101.4-2004 «Информационные технологии. Методы и средства безопасности Профиль защиты электронной почты предприятия»
Настоящий предстандарт определяет профиль защиты продуктов и систем электронной почты, соответствующий требованиям СТБ 34.101.1 - СТБ 34.101 3, и устанавливает общие требования безопасности для электронной почты предприятий, организаций и учреждений Республики Беларусь (далее - предприятие).
Настоящий предстандарт обязателен для:
а) предприятий, организаций и учреждений Республики Беларусь, независимо от формы собственности, при выработке требований безопасности для собственных систем электронной почты;
б) разработчиков систем электронной почты и поставщиков продуктов для систем электронной
почты с целью реализации средств обеспечения безопасности, отвечающих устанавливаемым
настоящим предстандартом требованиям;
б) экспертов (испытателей) при проведении ими оценки соответствия продуктов и систем электронной почты требованиям настоящего предстандарта.
5. СТБ 34.101.5-2003 «Информационные технологии и безопасность. Общая методология испытаний продуктов и систем информационных технологий на соответствие уровням гарантий»
Настоящий предстандарт устанавливает порядок и содержание работ по испытаниям продуктов и систем (объектов оценки) информационных технологий на соответствие уровням гарантии.
Положения настоящего предстандарта распространяются на все типы продуктов и систем информационных технологий и обязательны для применения экспертами (испытателями) испытательных центров (испытательных лабораторий) при сертификации созданных объектов информационных технологий.
6. СТБ 34.101.6-2003 «Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка»
Настоящий предстандарт устанавливает порядок и содержание работ по разработке, обоснованию и оценке заданий по обеспечению безопасности для конкретной реализации продуктов или систем информационных технологий.
Положения настоящего предстандарта обязательны для применения расположенными на территории Республики Беларусь:
заказывающими органами (потребителями) при задании требований по обеспечению безопасности;
разработчиками при создании защищенных объектов информационных технологий;
экспертами (испытателями) при оценке заданий по обеспечению безопасности и созданных объектов информационных технологий;
всеми, кто является ответственным за определение и управление применением методологии оценки заданий по обеспечению безопасности.
7. СТБ 34.101.7-2003 «Информационные технологии и безопасность. Профиль защиты. Разработка, обоснование, оценка»
Настоящий предстандарт устанавливает порядок и содержание работ по разработке, обоснованию и оценке профилей защиты для типовых продуктов и систем информационных технологий.
Положения настоящего предстандарта являются обязательными для применения расположенными на территории Республики Беларусь:
заказывающими органами (потребителями) при выборе из каталогов, разработке и обосновании профилей защиты;
разработчиками при создании защищенных продуктов и систем информационных технологий;
экспертами (испытателями) при оценке профилей защиты и созданных объектов информационных технологий;
теми, кто является ответственным за определение и управление применением методологии оценки профилей защиты.
8. СТБ 34.101.8-2003 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Общие требования»
Настоящий стандарт распространяется на программные средства защиты от воздействия вредоносных программ (ПСЗВВП) и антивирусные программные средства (АПС) отечественного и импортного производства.
Настоящий стандарт устанавливает классификацию ПСЗВВП и АПС и общие требования к ним при обработке информации, представляющей ценность для собственника, и информации ограниченного распространения, не отнесенной к государственным секретам Республики Беларусь.
Настоящий стандарт может применяться для разработки дополнительных требований к ПСЗВВП и АПС при обработке информации, отнесенной к государственным секретам Республики Беларусь.
Настоящий стандарт не распространяется на программно-аппаратные средства защиты от воздействия вредоносных программ и программно-аппаратные антивирусные средства.
9. СТБ 34.101.9-1004 «Информационные технологии. Требования к защите информации от несанкционированного доступа, устанавливаемые в техническом задании на
создание автоматизированной системы»
Настоящий стандарт распространяется на автоматизированные системы всех видов и типов, обрабатывающих защищаемую информацию.
Настоящий стандарт устанавливает порядок изложения требований к защите информации от несанкционированного доступа в техническом задании на создание автоматизированных систем.
10. СТБ 34.101.10-2004 «Информационные технологии. Средства защиты информации от несанкционированного доступа в автоматизированных системах. Общие требования»
Настоящий стандарт распространяется на программные, программно-аппаратные и аппаратные средства защиты информации от несанкционированного доступа, используемые в автоматизированных системах (далее - средства защиты от НСД).
Настоящий стандарт не распространяется на средства криптографической защиты информации.
Заказчики применяют настоящий стандарт при задании требований на разработку средств защиты от НСД.
Разработчики применяют настоящий стандарт при выборе проектных решений и разработке документации (конструкторской, программной) на средства защиты от НСД.
Эксперты применяют настоящий стандарт при проведении экспертизы (аттестации, сертификации) средств защиты от НСД.
11. СТБ 34.101.11 -2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в доверенной зоне корпоративной сети»
Настоящий предстандарт распространяется на программные средства (ПС) обеспечения безопасности операционной системы (ОС) сервера для использования в доверенной зоне корпоративной сети (ДЗКС), имеющей выходы во внешние сети передачи данных.
Настоящий предстандарт устанавливает необходимый перечень функциональных требований безопасности (ФТБ) и гарантийных требований безопасности (ГТБ), предъявляемых к ОС сервера для использования в ДЗКС, при обработке информации, представляющей ценность для собственника, и информации ограниченного распространения, не отнесенной к государственным секретам Республики Беларусь.
Настоящий предстандарт применяется к ПС обеспечения безопасности ОС сервера отечественного и иностранного производства для использования в ДЗКС.
Положения настоящего предстандарта обязательны для применения заказывающими органами (потребителями), разработчиками и экспертами (испытателями), расположенными на территории Республики Беларусь, в качестве руководства при покупке, разработке, применении и оценке защищенных ОС сервера для использования в ДЗКС.
12. СТБ 34.101.12-2004 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Оценка качества»
Настоящий предстандарт распространяется на программные средства защиты от воздействия вредоносных программ (ПСЗВВП) и на антивирусные программные средства (АПС). Настоящий предстандарт устанавливает:
- порядок оценки качества ПСЗВВП и АПС;
- перечень показателей качества ПСЗВВП и АПС.
Настоящий предстандарт предназначен для:
- разработчиков ПСЗВВП и АПС;
- сотрудников центров и лабораторий, занимающихся сертификационными испытаниями и экспертизами ПСЗВВП и АПС;
- персонала организаций, занимающихся разработкой и оценкой систем защиты информационных технологий;
- персонала организаций, занимающихся разработкой и оценкой профилей защиты и заданий по обеспечению безопасности объектов информационной технологии (ИТ);
- руководителей и сотрудников служб безопасности государственных органов и юридических лиц Республики Беларусь при оценке качества ПСЗВВП и АПС.
На основе данного предстандарта могут быть разработаны типовые программы и методики оценки качества ПСЗВВП и АПС.
Настоящий предстандарт не распространяется на программно-аппаратные средства защиты от воздействия вредоносных программ и программно-аппаратные антивирусные средства.
13. СТБ 34.101.13-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в демилитаризованной зоне корпоративной сети»
Настоящий предстандарт распространяется на программные средства (ПС) обеспечения безопасности операционной системы (ОС) сервера для использования в демилитаризованной зоне корпоративной сети (ДМЗКС), имеющей выходы во внешние сети передачи данных
Настоящий предстандарт устанавливает необходимый перечень функциональных и гарантийных требований безопасности, предъявляемых к ОС сервера для использования в ДМЗКС, при обработке информации, представляющей ценность для собственника, и информации ограниченного распространения, не отнесенной к государственным секретам Республики Беларусь.
Настоящий предстандарт применяется к ПС безопасности ОС сервера отечественного и иностранного производства для использования в ДМЗКС
Положения настоящего предстандарта обязательны для применения заказывающими органами (потребителями), разработчиками и экспертами (испытателями), расположенными на территории Республики Беларусь, в качестве руководства при покупке, разработке, применении и оценке защищенных ОС сервера для использования в ДМЗКС
14. СТБ 34.101.14-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств маршрутизатора для использования в демилитаризованной зоне корпоративной сети»
Настоящий предстандарт распространяется на программные средства (ПС) обеспечения безопасности маршрутизаторов отечественного и иностранного производства для использования в демилитаризованной зоне корпоративной сети (ДМЗКС).
Настоящий предстандарт определяет профиль защиты (ПЗ) ПС маршрутизаторов ДМЗКС и устанавливает общие требования безопасности при обработке пакетов информации пользователей и
информации, относящейся к функциям контроля и управления маршрутизаторами.
Положения настоящего предстандарта обязательны для применения расположенными на территории Республики Беларусь заказывающими органами (потребителями), разработчиками и экспертами (испытателями) в качестве руководства при покупке, разработке, применении и оценке ПСмаршрутизатора для использования в ДМЗКС.
15. СТБ 34.101.15-2004 «Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Типовая программа и методика испытаний»
Настоящий предстандарт распространяется на программные средства защиты от воздействия вредоносных программ (ПСЗВВП) и антивирусные программные средства (АПС) отечественного и иностранного производства.
Настоящий предстандарт устанавливает объем и порядок проведения испытаний ПСЗВВП и АПС, описывает методы контроля, средства испытаний и обобщенные технические данные, подлежащие проверке при оценке показателей качества ПСЗВВП и АПС по СТБ П 34.101.12.
Настоящий предстандарт предназначен для разработчиков ПСЗВВП и АПС, работников центров (лабораторий), занимающихся испытаниями и экспертизами ПСЗВВП и АПС, персонала организаций, занимающихся разработкой и оценкой систем защиты информационных технологий (ИТ), руководителей и работников служб безопасности государственных органов и юридических лиц Республики Беларусь при оценке качества ПСЗВВП и АПС.
Настоящий предстандарт не распространяется на программно-аппаратные средства защиты от воздействия вредоносных программ и программно-аппаратные антивирусные средства.
16. СТБ 34.101.16-2004 «Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств коммутатора для использования в доверенной зоне корпоративной сети»
Настоящий предстандарт распространяется на программные средства (ПС) обеспечения безопасности коммутаторов отечественного и иностранного производства для использования в доверенной зоне корпоративной сети (ДЗКС).
Настоящий предстандарт определяет профиль защиты (ПЗ) ПС коммутаторов для использования в ДЗКС и устанавливает общие требования безопасности при обработке потоков информации пользователей и информации, относящейся к функциям контроля и управления коммутаторами.
Положения настоящего предстандарта обязательны для применения расположенными на территории Республики Беларусь заказывающими органами (потребителями), разработчиками и экспертами (испытателями) в качестве руководства при покупке, разработке, применении и оценке ПС коммутатора для использования в ДЗКС.
17. СТБ 1176.1-99 «Информационная технология. Криптографическая защита информации. Функция хэширования»
Настоящий стандарт устанавливает алгоритм и процедуру вычисления значения функции хэширования, которые применяются а криптографических методах обработки и зашиты информации, в том числе для реализации процедур электронной цифровой подписи при передаче, обработке и хранении информации.
Настоящий стандарт применяется при разработке средств криптографической зашиты информации в автоматизированных системах.
18. СТБ 1176.2-99 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверка электронной цифровой подписи»
Настоящий стандарт устанавливает алгоритмы и процедуры выработки и проверки электронной цифровой подписи (ЭЦП), которые применяются в криптографических методах обработки и зашиты информации.
Настоящий стандарт применяется при разработке средств криптографической защиты информации в автоматизированных системах.
19. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографических преобразований»
Данный стандарт устанавливает единый алгоритм криптографического преобразования для систем обработки информации в сетях электронных вычислительных машин (ЭВМ), отдельных вычислительных комплексах и ЭВМ, который определяет правила шифрования данных и выработки имитовставки.
Алгоритм криптографического преобразования предназначен для аппаратной или программной реализации, удовлетворяет криптографическим требованиям и по своим возможностям не накладывает ограничений на степень секретности защищаемой информации.
Стандарт является обязательным для организаций, предприятий и учреждений, применяющих криптографическую защиту данных, хранимых и передаваемых в сетях ЭВМ, в отдельных вычислительных комплексах или в ЭВМ.
20. СТБ ГОСТ Р 51318.24-2001 «Совместимость технических средств электромагнитная. Устойчивость оборудования информационных технологий к электромагнитным помехам. Требования и методы испытаний»
Настоящий стандарт распространяется на оборудование информационных технологий (ОИТ) и устанавливает требования устойчивости ОИТ к непрерывным и импульсным, кондуктивным и излучаемым электромагнитным помехам, включая электростатические разряды (далее в тексте - помехи) и соответствующие методы испытаний.
Требования помехоустойчивости ОИТ установлены в настоящем стандарте применительно к воздействию помех в полосе частот от 0 до 7000 МГц и направлены на обеспечение функционирования ОИТ в соответствии с назначением в окружающей электромагнитной обстановке.
Требования помехоустойчивости установлены применительно к каждому порту ОИТ.
Примечания.
Настоящий стандарт не устанавливает требований безопасности.
В некоторых случаях будут иметь место условия, когда уровень помех превышает уровни, установленные для испытаний в настоящем стандарте, например при использовании переносных радиостанций в непосредственной близости к ОИТ. В этих случаях должны быть применены специальные меры снижения помех.
Требования устойчивости к помехам и методы испытаний средств вычислительной техники и информатики - по ГОСТ Р 50839, персональных электронных вычислительных машин - по ГОСТ 30334, электронных контрольно-кассовых машин - по СТБ ГОСТ Р 50747.
Требования настоящего стандарта являются обязательными.
Содержание стандарта СИСПР 24 набрано прямым шрифтом, дополнительные требования к стандарту СИСПР 24, отражающие потребности экономики республики, - курсивом.
21. СТБ ИСО/МЭК 12119-2003 «Информационные технологии. Пакеты программ. Требования к качеству и тестирование»
Настоящий стандарт применяется для пакетов программ. Например, для текстовых процессоров, электронных таблиц, программ баз данных, графических пакетов, программ, реализующих технические и научные функции, для сервисных программ (утилит).
Стандарт устанавливает:
-требования к пакетам программ (требования к их качеству);
- инструкции по испытанию пакета программ на соответствие его установленным требованиям (инструкции по тестированию, в частности по тестированию третьей стороной).
Стандарт предназначен только для пакетов программ, являющихся объектами продажи и поставки. Стандарт не связан с процессом их производства (включая соответствующие работы и промежуточные продукты, например технические задания). Область применения настоящего стандарта не охватывает систему качества поставщика.
Примечание - Для некоторых программных средств необходимы дополнительные требования, например для программных средств, критичных по безопасности.
22. СТБ ГОСТ Р 50922-2000 «Защита информации. Основные термины и определения»
Настоящий стандарт устанавливает основные термины и определения понятий в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, входящих в сферу работ по стандартизации и (или) использующих результат этих работ.
23. Перечень сведений ограниченного доступа и совместных информационных ресурсов, подлежащих защите в рамках Союзного государства.
Перечень сведений ограниченного доступа и совместных информационных ресурсов, подлежащих защите в рамках Союзного государства, разработан в ходе выполнения 1 этапа совместной программы "Защита общих информационных ресурсов Беларуси и России" (шифр "Защита-БР") и утвержден начальником Административного департамента Постоянного Комитета Союзного государства 5 марта 2003 года.
Рекомендуется для использования в органах власти, организациях и на предприятиях Республики Беларусь и Российской Федерации при решении вопросов в сфере информационной безопасности Союзного государства.
24. Унифицированный глоссарий Союзного государства в области информационной безопасности.
Унифицированный глоссарий Союзного государства в области информационной безопасности разработан в ходе выполнения 1 этапа совместной программы "Защита общих информационных ресурсов Беларуси и России" (шифр "Защита-БР") и утвержден начальником Административного департамента Постоянного Комитета Союзного государства 5 марта 2003 года.
Рекомендуется для использования в органах власти, организациях и на предприятиях Республики Беларусь и Российской Федерации при решении вопросов в сфере информационной безопасности Союзного государства.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: