ČSN EN ISO/IEC 15408-3 (369789)

Anotace obsahu normy

Mezinárodní norma ISO/IEC 15408-3 byla připravena společnou technickou komisí ISO/IEC JTC 1, Informační technologie, subkomise SC27, Bezpečnostní techniky IT. Identický text ISO/IEC 15408-3 je zveřejněn organizacemi sponzorujícími projekt "Common Criteria" pod názvem Společná kritéria pro hodnocení bezpečnosti informačních technologií. Veřejný XML zdroj obou publikací lze nalézt na http://www.oc.ccn.cni.es/xml.
Třetí vydání ruší a nahrazuje druhé vydání (ISO/IEC 15408-3:2005), které prošlo technickou revizí.
ISO/IEC 15408 se skládá z následujících částí se společným názvem Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT:
- Část 1: Úvod a všeobecný model
- Část 2: Funkční součásti bezpečnosti
- Část 3: Komponenty bezpečnostních záruk
Tato část ISO/IEC 15408 definuje požadavky normy na záruku. Obsahuje úrovně hodnocení záruky (Evaluation Assurance Levels, EALs), které definují měřítko pro posouzení záruky TOE komponenty, sestavené balíky záruk (composed assurance packages, CAPs), které definují měřítko pro posouzení záruky sestavených TOE, jednotlivé komponenty záruky, z kterých se skládají úrovně záruky a balíky, a kritéria pro hodnocení PP a ST.
Komponenty bezpečnostních záruk, jak jsou definovány v této části ISO/IEC 15408, jsou základem pro požadavky na bezpečnostní záruky vyjádřené v profilu ochrany (Protection Profile, PP) nebo v bezpečnostním cíli (Security Target, ST).
Tyto požadavky ustanovují standardní způsob vyjádření požadavků záruky pro předměty hodnocení (Target of evaluation, TOE). Tato část ISO/IEC 15408 katalogizuje sadu součástí záruky, rodin záruky a tříd záruky. Tato část ISO/IEC 15408 rovněž definuje kritéria hodnocení pro PP a ST a představuje úrovně záruk hodnocení, které vymezují předem definovanou stupnici ISO/IEC 15408 hodnocení záruk pro TOE, která se nazývá úrovně hodnocení záruky (Evaluation Assurance Levels, EAL).
Uživateli této části ISO/IEC 15408 jsou spotřebitelé, vývojoví pracovníci a hodnotitelé bezpečných IT produktů. ISO/IEC 15408-1 poskytuje dodatečné informace týkající se cílových uživatelů ISO/IEC 15408 a používání ISO/IEC 15408 skupinami, které zahrnují cílové uživatele. Tyto skupiny mohou používat tuto část ISO/IEC 15408 následovně:
a) Zákazníci, kteří používají tuto část ISO/IEC 15408 při výběru komponent pro vyjádření požadavků záruky, které splní bezpečnostní cíle vyjádřené v PP nebo ST, stanovujících požadované úrovně bezpečnostních záruk TOE.
b) Vývojoví pracovníci, kteří reagují na aktuální nebo vnímané požadavky zákazníků na bezpečnost při vytváření TOE, se odkazují na tuto část ISO/IEC 15408 při interpretaci specifikací požadavků záruky a při určování přístupů k zárukám TOE.
c) Hodnotitelé, kteří používají požadavky záruky definované v této části ISO/IEC 15408 jako závazný výrok kritérií pro hodnocení při určování záruky TOE a při hodnocení PP a ST.