Что такое ГОСТ Р ИСО/МЭК 15408 и положения 719-П, 683-П и 757-П?

ГОСТ Р ИСО/МЭК 15408 и ОУД4 упоминается в различных Положениях, но далеко не все помнят и знают о том, что этот стандарт из себя представляет и каким целям он служит, а тем временем все больше организаций подпадают под обязанность соблюдать его (https://rtmtech.ru/services/otsenka-oud-4/). В этой статье мы постараемся разобраться в нем и определить его основные цели.

Что такое ГОСТ Р ИСО/МЭК 15408?

ГОСТ — это некий государственный стандарт для оценки соответствия чего-либо определенным критериям качества. Такие стандарты существуют не только для ИБ, но и для продуктов, производств и прочих изделий. Все они различаются в зависимости от строгости исполнения, своего предназначения и состава. ГОСТ, который мы рассматриваем (ГОСТ Р ИСО/МЭК 15408), является наследником международного стандарта ИСО/МЭК 15408 по методам и средствам обеспечения безопасности ИТ и представляет собой инструкцию для измерения защищенности некоторых систем.

Этот стандарт описывает уровни соответствия, дает инструкции и требования, которым необходимо соответствовать, чтобы достигнуть, к примеру, того или иного уровня доверия к системе как к безопасной.

Структура стандарта ГОСТ Р ИСО/МЭК 15408

Система ГОСТ Р ИСО/МЭК 15408 имеет следующую структуру, состоящую из четырех частей:

Часть 1: основная часть, цель ГОСТа, его принципы

В этом разделе описаны все те основные и базовые вещи, которые необходимо знать перед проведением оценки, целью стандарта является предоставление необходимых инструментов, которые позволят оценивать защищенность системы и уровень доверия к ней, исходя из которого можно будет принимать решение о целесообразности ее применения где-либо (то есть, к примеру, для государственной структуры, которая содержит государственную тайну, и для небольшого банка требования к безопасности совершенно разные по строгости, хотя обе организации должны заботиться об этом).

Именно в этом разделе встречаются такие понятия, как объект и предмет оценки, а также система оценки. Их мы рассмотрим чуть ниже.

Часть 2: сортировка критериев безопасности

В следующем разделе представлены критерии безопасности, которые поделены на две основных категории: функциональные компоненты безопасности и требования доверия. Функциональные компоненты определяют, что система должна делать для обеспечения безопасности, то есть предусматривают ее функциональность, набор характеристик, в то время как требования доверия определяют, как система должна быть спроектирована и реализована для обеспечения безопасности, что нужно соблюдать при ее создании.

Часть 3: процессы и методы оценки безопасности

В этом разделе вы найдете способы проверки и оценки безопасности в соответствии со стандартом, получите описание семи основных уровней безопасности, которые разделены по строгости требований. Для каждого уровня предусмотрена своя глубина оценки. К примеру, оценка ОУД4 проводится как раз в соответствии с ГОСТ 15408-3-2013.

Часть 4: составление оценки безопасности

Этот раздел предоставляет рекомендации по составлению оценки безопасности, которая является документом, описывающим требования безопасности и желаемый уровень безопасности для конкретной информационной системы или продукта. Здесь также учитывается контекст оценки, включая цели и ограничения.

Что такое объект и предмет оценки, а также система оценки в соответствии с ГОСТ Р ИСО/МЭК 15408?

Объектом является та система или ПО, которое нужно оценить, при этом все связанные с этим объектом части тоже будут рассматриваться как часть объекта оценки. Например, если объект оценки — операционная система, то объект оценки включает в себя не только ядро операционной системы, но и компоненты пользовательского интерфейса, системные библиотеки и другие связанные элементы.

Что такое предмет оценки? Это расплывчатое понятие, которое охватывает сразу множество определений, но предмет оценки обычно представляется в виде документа и содержит цели проведения оценки, тот уровень безопасности, который необходим организации и который нужно либо подтвердить, либо опровергнуть и доработать систему в соответствии с ним.

Система оценки — это своего рода метрическая система, по которой можно рассчитать уровень безопасности продукта, а значит и определить, насколько он безопасен. Соответствие тому или иному уровню часто содержится в Положениях регуляторов как одно из условий соблюдения закона.

Система уровней безопасности в стандарте ГОСТ Р ИСО/МЭК 15408 (ISO/IEC 15408)

ГОСТ Р 15408 (ISO/IEC 15408) предоставляет семь уровней безопасности, в соответствии с которыми измеряется безопасность системы и ее применимость в тех или иных организациях. Вот какие уровни безопасности существуют:

• Начальный уровень — этот уровень безопасности представляет собой низкий уровень доверия. Оценка на нем означает, что оценки безопасности не проводилось или было проведено только поверхностное изучение продукта. На этом уровне безопасности нет дополнительных мер обеспечения защищенности системы.
• 1 уровень — представляет собой самое поверхностное соответствие требования защищенности системы. Оценка на этом уровне означает, что продукт или система были подвергнуты минимальной проверке на соответствие базовым требованиям безопасности.
• 2 уровень — проводится более подробная оценка безопасности. Продукт или система оцениваются на соответствие дополнительным требованиям безопасности, и проводится более детальный анализ.
• 3 уровень — представляет собой уровень, на котором проводится более интенсивная оценка безопасности. Производится анализ, который включает в себя более серьезные меры по обеспечению безопасности.
• 4 уровень — этот уровень требует проведения дополнительных проверок и документации в отношении безопасности. Оценка на этом уровне означает, что система имеет уровень безопасности, который соответствует базовым требованиям для многих критических приложений.
• 5 уровень — проводится еще более строгая оценка безопасности. Он требует дополнительных мер по обеспечению безопасности и более тщательного анализа системы. Используется для оценки защиты систем в правительственных учреждениях.
• 6 и 7 уровни — эти два уровня безопасности представляют собой наивысший уровень безопасности. Оценка на этих уровнях требует максимально строгих мер безопасности и предполагает наивысший уровень доверия к системе. Такие оценки обычно применяются в самых критических и высокозащищенных приложениях и системах, например, в системах управления ядерными объектами.

В каких Положениях и процедурах упоминается ГОСТ Р ИСО/МЭК 15408 в рамках ИБ?

Итак, данный стандарт используется как основной помощник при оценке организаций в соответствии с ОУД4, это требование включено для банковских организаций (согласно положению 719-П или 683-П) и некредитных финансовых организаций (согласно положению 757-П).

Процесс оценки безопасности согласно ГОСТ Р ИСО/МЭК 15408

Для оценки безопасности согласно ГОСТ Р ИСО/МЭК 15408 необходимо выполнить несколько шагов. Давайте подробнее разберем каждый из этих этапов:

1. Инициализация оценки

• Цели оценки: на этом этапе определяются цели оценки безопасности. Это может включать в себя определение того, что требуется оценить, какие уровни безопасности следует достичь и какие угрозы или уязвимости должны быть учтены.
• Контекст оценки: здесь определяется контекст оценки, включая условия, в которых будет проводиться оценка, и важные факторы, которые могут повлиять на процесс.

2. Определение системы

• Идентификация системы: на этом этапе определяется, какая информационная система или продукт будет подвергнут оценке. Это включает в себя идентификацию системы, ее компонентов и зависимостей.
• Границы системы: требуется четко определить границы системы и то, какие аспекты ее безопасности будут оцениваться.

3. Анализ критериев безопасности

• Планирование оценки: определяются методы и процедуры, которые будут использоваться при оценке безопасности. Это включает в себя разработку плана оценки, в котором указываются шаги, распределение ролей и ответственностей.

4. Оценка безопасности

• Проведение оценки: профессионалы, которые разбираются в Стандарте, проводят оценку безопасности в соответствии с четко описанными правилами ГОСТ Р 15408.

5. Составление отчета о безопасности

• Отчет: отчет включает в себя не только фиксированный факт проведения оценки, но и то, какие компоненты безопасности были проделаны, какие манипуляции и действия были совершены с ними. Если отчет описывает все действия команды безопасности, которую вы наняли, то можно сказать, что это хороший отчет.