Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Проект захисту

⇐ ПредыдущаяСтр 110 из 154Следующая ⇒


Читайте также:
  1. III. Етап проектування
  2. Авангард и театр. Театральные проекты художников русского авангарда (1910-1920-е гг.). Дягилевские сезоны (1915-1929)
  3. Алгоритм выполнения проекта
  4. АНАЛИЗ ЧУВСТВИТЕЛЬНОСТИ ПРОЕКТА ПРИ РАЗЛИЧНЫХ ОБЪЕМАХ РЕАЛИЗАЦИИ УСЛУГ
  5. Апарат захисту та управління АЗУВУ200Б
  6. Апаратура захисту і управління авіаційних генераторів
  7. Апаратура управління та захисту електричних мереж, металізація та заземлення

Проект захисту [Security Target (ST)] — нормативний документ, який включає вимоги та завдання захисту ІТ-продукту, а також опи­сує рівень функціональних можливостей, реалізованих у ньому за­собів захисту, їх обґрунтування і підтвердження ступеню їхніх га­рантій. Профіль захисту, з однієї сторони є відправною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.

Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфіка­ції ІТ-продукту, заявку на відповідність профілю захисту, обґрун­тування (рис. 8.4). Багато розділів проекту захисту співпадають із однойменними розділами профілю захисту.

Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту за­хисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам "Загальних критеріїв".

Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.

Огляд змісту проекту захисту — достатньо докладна анотація проекту захисту, що дозволяє споживачам визначати придатність ІТ-продукту для вирішення завдань.

Заявка на відповідність "Загальним критеріям" — опис усіх вла­стивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі "Загальних критеріїв".

Проект захисту: опис ІТ-продукту [TOE description] — розділ про­екту захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця ін­формація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояснення вимог безпе­ки і визначення їхньої відповідності завданням, що вирішуються за


Частина II Основи безпеки інформаційних технологій

Рис. 8.4. Структура проекту захисту


Розділ 8 Критерії безпеки інформаційних технологій

допомогою ІТ-продукту.

Проект захисту: середовище експлуатації [TOE security envi­ronment] - розділ проекту захисту, що містить опис усіх аспектів функціонування ІТ-продукту, зв'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, полі­тика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози по­винно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Проект захисту: завдання захисту [security objectives] — розділ проекту захисту, що відображає потреби користувачів у протидії по­тенційним загрозам безпеці і (або) реалізації політики безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

завдання захисту ІТ-продукту повинні визначати і регламенту­вати потреби в протидії потенційним загрозам безпеці і (або) у реа­лізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в проти­дії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонент комп'ютерної системи, що не відносяться до сфери інформаційних технологій.

Проект захисту: вимоги безпеки [IT security requirements] — роз­діл проекту захисту, що містить вимоги безпеки до ІТ-продукту, яки­ми керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю захисту.

Розділ функціональних вимог безпеки до ІТ-продукту на відмі­ну від відповідного розділу профілю захисту допускає використання крім типових вимог "Загальних критеріїв" і інших, специфічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль "Загальних критеріїв" і забезпечувати властиву їм ступінь деталізації.

Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в "Загальних критеріях". В даному випадку опис рівня гарантій повинен бути чітким, несуперечливим і мати ступінь дета-


Частина II Основи безпеки інформаційних технологій

лізації, що допускає його використання в ході кваліфікаційного ана­лізу. При цьому бажано використати стиль і деталізації опису рівнів гарантій, прийняті в "Загальних критеріях".

Проект захисту: загальні специфікації ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механі­зми реалізації завдань захисту за допомогою визначення багаторів­невих специфікацій засобів захисту у відповідності до функціональ­них вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рів­ня гарантій.

Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить ма­теріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, відповідність про­філю захисту, удосконалення профілю захисту.

Посилання на профіль захисту однозначно ідентифікує профіль захисту, на реалізацію якого претендує проект захисту, із зазначен­ням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без ви­ключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і вимоги, що містяться в профілі захисту.

Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, вста­новлених у профілі захисту.

Проект захисту: обґрунтування [rationale] — розділ проекту за­хисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх, буде ефе­ктивно протистояти загрозам безпеці. Крім того, обґрунтування мі­стить підтвердження заявленої відповідності профілю захисту. Роз­діл деталізується у наступному.

Обґрунтування завдань захисту повинно демонструвати, що зав­дання захисту, заявлені в проекті захисту, відповідають властиво­стям середовища експлуатації, тобто їх вирішення дозволить ефе­ктивно протидіяти загрозам безпеці і реалізувати вибрану під них політику безпеки.

Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту тому, що:

• сукупність функціональних вимог безпеки та вимог гарантій без-


Розділ 8 Критерії безпеки інформаційних технологій

пеки, а також умов експлуатації ІТ-продукту відповідають зав­данням захисту;

• усі вимоги безпеки є несуперечливими і взаємно підсилюють одна одну;

• вибір вимог є оправданим;

• рівень функціональних можливостей засобів захисту відповідає завданням захисту.

Обґрунтування загальних специфікацій ІТ-продукту повинно де­монструвати, що засоби захисту та методи забезпечення їхніх гаран­тій відповідають вимогам, що пред'являються, оскільки:

• сукупність засобів захисту задовольняє функціональним вимо­гам;

• необхідний рівень безпеки та надійності захисту забезпечується засобами, що запропоновані;

• заходи, спрямовані на забезпечення гарантій реалізації функціо­нальних вимог, відповідають вимогам гарантій.

Обґрунтування відповідності профілю захисту показує, що вимо­ги проекту захисту підтримують всі вимоги профілю захисту. Для цього повинно бути показано, що:

• усі удосконалення завдань захисту порівняно з профілем захисту реалізовані коректно і в напрямку їхнього розвитку та конкрети­зації;

• усі удосконалення вимог безпеки порівняно з профілем захисту реалізовані коректно і в напрямку їхнього розвитку та конкрети­зації;

• усі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;

• ніякі додатково введені в проект захисту спеціальні завдання за­хисту та вимоги безпеки не суперечать профілю захисту.

Дата добавления: 2015-07-11; просмотров: 64 | Нарушение авторских прав

⇐ Предыдущая103104105106107108109110111112113114115116117118Следующая ⇒



mybiblioteka.su - 2015-2024 год. (0.007 сек.)