ГОСТ ISO/IEC TS 19249-2021 PDF

Полное наименование и описание

ГОСТ ISO/IEC TS 19249-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений — документ, представляющий каталог архитектурных и проектных принципов, предназначенных для разработки более безопасных продуктов, систем и приложений, а также дающий рекомендации по их использованию в целях повышения безопасности и упрощения оценки свойств безопасности.

Источник и факт приёма: документ введён в действие приказом уполномоченного органа в 2021 году как национальное (межгосударственное) принятие соответствующей технической спецификации ISO/IEC TS 19249.

Аннотация

Техническая спецификация содержит каталог принципов архитектуры и проектирования (например, минимизация поверхности атаки, принцип наименьших привилегий, централизованные службы безопасности, защита границ и моделирование доверенных частей), пояснения по применению этих принципов и рекомендации по тому, как использовать их при разработке и оценке безопасных продуктов и систем. Документ носит рекомендательный характер и не устанавливает обязательных процедур оценки.

Общая информация

• Статус: Действующий межгосударственный стандарт (адаптация ISO/IEC TS 19249).
• Дата публикации: введён в действие 02 июля 2021 г.; исходная техническая спецификация ISO/IEC TS 19249 опубликована 27 октября 2017 г.
• Организация-издатель: федеральный орган по стандартизации (национальное издание/приём стандарта) и ISO/IEC JTC 1/SC 27 как разработчик оригинальной TS.
• ICS / категории: 35.030 (информационные технологии; безопасность информации и связанная тематика).
• Редакция / версия: редакция национального принятия 2021 г.; базовая международная редакция — ISO/IEC TS 19249:2017.
• Количество страниц: порядка 26 страниц в базовой международной публикации (техническая спецификация, компактный формат).

Область применения

Документ предназначен для архитекторов, проектировщиков, разработчиков ПО и систем, специалистов по информационной безопасности и оценщиков безопасности. Он применим при проектировании и архитектурном обосновании требований безопасности продуктов, систем и приложений, а также при подготовке материалов для оценки безопасности и сертификации. Рекомендации пригодны для разнообразных областей — от встраиваемых устройств и ПО до корпоративных систем и облачных сервисов.

Ключевые темы и требования

• Каталог архитектурных и проектных принципов для безопасного проектирования (например: минимизация поверхности атаки, принцип наименьших привилегий, разделение доменов, изоляция и инкапсуляция).
• Централизованные общие службы безопасности (аутентификация, контроль доступа, аудит, криптографические сервисы) и рекомендации по их проектированию и защите.
• Рекомендации по проверке и валидации входных параметров, защите границ и ограничению непреднамеренного взаимодействия между компонентами.
• Особые аспекты виртуализации и эмуляции — требования к спецификациям виртуализованных объектов и проверке корректности их поведения в реализации.
• Указания по применению принципов проектирования в контексте оценки безопасности (как принципы упрощают оценку и какие аспекты нужно учитывать оценщикам).

Применение и пользователи

Основные пользователи — архитекторы информационных систем, разработчики продуктов, инженеры по безопасности, специалисты по оценке и сертификации (включая национальные схемы сертификации), аудиторы и менеджеры по рискам. Документ используют как справочное руководство при формировании требований безопасности, при проектировании защищённых компонентов и при подготовке к независимой оценке и сертификации.

Связанные стандарты

Рекомендуется рассматривать вместе с рядом стандартов и документов по оценке и обеспечению безопасности, в частности с ISO/IEC 15408 (Common Criteria), ISO/IEC 18045 (методы и руководства по оценке), а также с семейством ISO/IEC 27000 по менеджменту информационной безопасности; документ дополняет и поясняет архитектурно-проектные аспекты, на которые ссылаются эти стандарты.

Ключевые слова

архитектура безопасности, принципы проектирования, минимизация поверхности атаки, наименьшие привилегии, централизованные службы безопасности, валидация параметров, виртуализация, оценка безопасности, ISO/IEC TS 19249.

FAQ

В: Что это за стандарт?

О: Это межгосударственное принятие технической спецификации ISO/IEC TS 19249 под наименованием ГОСТ ISO/IEC TS 19249-2021 — каталог архитектурных и проектных принципов для создания безопасных продуктов и систем, дающий рекомендации для разработчиков и оценщиков.

В: Что он регулирует?

О: Документ не устанавливает обязательных требований к реализации, вместо этого предлагает набор принципов и рекомендаций по архитектуре и проектированию для повышения защищённости систем и упрощения их дальнейшей оценки и сертификации.

В: Кто обычно использует?

О: Разработчики и архитекторы ПО и систем, инженеры по безопасности, оценщики и сертификационные органы, аудиторы и команды обеспечения качества безопасности.

В: Он актуален или заменён?

О: Национальная версия принята и введена в действие в 2021 году; базовая международная TS датирована 2017 годом. На момент принятия документ считался актуальным; перед применением в критичных проектах рекомендуется сверить текущую статус-информацию у официального органа стандартизации на предмет последующих поправок или отзывов.

В: Это часть серии?

О: Да — документ связан с другими стандартами по информационной безопасности и оценке (включая ISO/IEC 15408 и семейство ISO/IEC 27000) и является вспомогательной технической спецификацией, дополняющей требования и руководства по оценке защищённости.

В: Какие ключевые слова?

О: архитектура безопасности; принципы проектирования; безопасные продукты; оценка безопасности; центрлизованные службы; минимизация поверхности атаки; виртуализация; ISO/IEC TS 19249.