Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Загальні критерії безпеки інформаційних технологій



Читайте также:
  1. I. Загальні положення
  2. I. Загальні положення
  3. V. ЗМІЦНЕННЯ ТА РАЦІОНАЛЬНЕ ВИКОРИСТАННЯ НАВЧАЛЬНО-МАТЕРІАЛЬНОЇ БАЗИ. ДОТРИМАННЯ ТЕХНІКИ БЕЗПЕКИ ТА САНІТАРНО-ГІГІЄНІЧНИХ НОРМ.
  4. Алгоритм прийняття рішення для забезпечення безпеки для об’єкта потенційної небезпеки
  5. Безпеки України в різних сферах громадського життя
  6. Вдосконалення нормативно-правової бази забезпечення загальнодержавної системи інформаційної безпеки
  7. Ви прийняті на роботу в лікарню. Який вид інструктажу повинен провести з Вами інженер з техніки безпеки як з новоприйнятим працівником?

[Common Criteria for Information Technology Security Evaluation (CCI-TSE)] — стандарт інформаційної безпеки [81], що узагальнює зміст і досвід використання "Оранжевої книги".

В ньому розвинені "Європейські критерії", втілена в реальні стру­ктури концепція типових профілів захисту "Федеральних критеріїв" США і відповідно до "Канадських критеріїв" представлена однакова основа для формулювання розробниками, користувачами та оціню­вачами інформаційних технологій (експертами з кваліфікації) вимог, метрик і гарантій безпеки.

Версія 2.1 цього стандарту затверджена Міжнародною організа­цією із стандартизації (ISO) в 1999 році в якості міжнародного стан­дарту інформаційної безпеки ISO/IES 15408.

Матеріали стандарту являють собою енциклопедію вимог і гаран­тій з інформаційної безпеки, які можуть відбиратися та реалізову­ватися у функціональні стандарти (профілі захисту) забезпечення інформаційної безпеки для конкретних систем, мереж і засобів як користувачами (по відношенню до того, що вони хочуть одержати в продукті, який пропонується), так і розробниками й операторами мереж (по відношенню до того, що вони гарантують у продукті, який реалізується).

До складу "Загальних критеріїв" входять три основні частини (рис. 8.1):

частина 1 — "Уявлення та загальна модель" [Part I: Introduction and general model];

частина 2 —"Вимоги до функцій безпеки" [Part I: Security functi­onal requirements];

частина 3 — "Вимоги гарантій безпеки" [Part I: Security assurance requirements].


Розділ 8 Критерії безпеки інформаційних технологій

Рис. 8.1. Структура Загальних критеріїв безпеки інформаційних технологій

За межі стандарту винесена частина 4 — "Напередвизначені про­філі захисту", із-за необхідності постійного поповнення каталогу про­філів захисту.

Основними компонентами безпеки "Загальних критеріїв" є:

• потенційні загрози безпеці та завдання захисту;

• політика безпеки;

• продукт інформаційних технологій;

• профіль захисту;

• проект захисту;


Частина II Основи безпеки інформаційних технологій

функціональні вимоги безпеки;

• вимоги гарантій безпеки;

• рівні гарантій.

Стандарт "Загальних критеріїв" описує тільки загальну схему проведення кваліфікаційного аналізу та сертифікації, але не регла­ментує процедуру їх здійснення. Питаннями методології кваліфі­каційного аналізу та сертифікації присвячений окремий документ авторів "Загальних критеріїв" — Загальна методологія оцінки безпеки інформаційних технологій [Common Methodology for Information Technology Security Evaluation (CMITSE)], який є дода­тком до стандарту.

Кваліфікаційний аналіз [evaluation] — це аналіз обчислюваль­ної системи з метою визначення рівня її захищеності та відповідності вимогам безпеки на основі критеріїв стандарту інформаційної безпе­ки. Інша назва кваліфікування рівня безпеки (Рис. 8.2).

Рис. 8.2. Кваліфікаційний аналіз

Згідно "Загальних критеріїв" кваліфікаційний аналіз може здій­снюватися як паралельно з розробленням ІТ-продукту, так і після її завершення.


Розділ 8 Критерії безпеки інформаційних технологій

Для проведення кваліфікаційного аналізу розробник продукту повинен надати наступні матеріали:

• профіль захисту;

• проект захисту;

• різноманітні обґрунтування і підтвердження властивостей та мо­жливостей ІТ-продукту, одержані розробником;

• сам ІТ-продукт;

• додаткові відомості, одержані шляхом проведення різноманітних незалежних експертиз.

Процес кваліфікаційного аналізу включає три стадії:

• аналіз профілю захисту на предмет його повноти, несуперечності, реалізованості та можливості використання у вигляді набору вимог для продукту, що аналізується;

• аналіз проекту захисту на предмет його відповідності вимогам профілю захисту, а також повноти, несуперечності, реалізованості і можливості використання у вигляді еталона при аналізі ІТ-продукту;

• аналіз ІТ-продукту на предмет відповідності проекту захисту.

Результатом кваліфікаційного аналізу є висновок про те, що під­даний аналізу ІТ-продукт відповідає представленому проекту захи­сту.


Дата добавления: 2015-07-11; просмотров: 173 | Нарушение авторских прав






mybiblioteka.su - 2015-2024 год. (0.008 сек.)