Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Профіль захисту



Читайте также:
  1. Апарат захисту та управління АЗУВУ200Б
  2. Апаратура захисту і управління авіаційних генераторів
  3. Апаратура управління та захисту електричних мереж, металізація та заземлення
  4. Блок регулювання захисту та управління 2438-140.
  5. Блок регулювання захисту, та управління 2438-140.
  6. Вимоги до рецензії і захисту курсової роботи
  7. Засоби захисту інформації

Профіль захисту [Protection Profile (PP)] — спеціальний норма­тивний документ, що регламентує сукупність завдань захисту, фун­кціональних вимог безпеки, вимог гарантій безпеки та їхнє обґрун­тування. Профіль захисту визначає вимоги безпеки до певної кате­горії ІТ-продуктів, не уточнюючи методи і засоби їх реалізації. За допомогою профілю захисту споживачі формують свої вимоги до розробників ІТ-продуктів.


Частина II Основи безпеки інформаційних технологій

Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додаткові відомості, обґрунтування (рис. 8.3).

Рис. 8.3. Структура профілю захисту

Профіль захисту: вступ [РР introduction] — розділ профілю за­хисту, який містить всю інформацію для пошуку профілю захисту в бібліотеці профілів. Вступ складається з ідентифікатора профілю


Розділ 8 Критерії безпеки інформаційних технологій

захисту та огляду змісту. Ідентифікатор профілю захисту являє со­бою унікальне ім'я для його пошуку серед подібних йому профілів і позначення посилань на нього.

Огляд змісту профілю захисту містить коротку анотацію про­філю захисту, на основі якої споживач може зробити висновок про придатність даного профілю захисту.

Профіль захисту: опис ІТ-продукту [TOE description] — роз­діл профілю захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та серти­фікації, але подається розробникам і експертам для пояснення вимог безпеки і визначення їхньої відповідності до завдань, що вирішую­ться за допомогою ІТ-продукту.

Профіль захисту: середовище експлуатації [TOE security envi­ronment] — розділ профілю захисту, що містить опис усіх аспектів функціонування ІТ-продукту, зв'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, полі­тика безпеки.

Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.

Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози по­винно бути вказане її джерело, метод і об'єкт впливу.

Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.

Профіль захисту: завдання захисту [security objectives] — розділ профілю захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу завдань захисту входять завдання захисту ІТ-продукту та інші завдання захисту.

Завдання захисту ІТ-продукту повинні визначати та регламен­тувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.

Інші завдання захисту повинні регламентувати потреби в проти­дії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонент комп'ютерної системи, що не відносяться до сфери інформаційних технологій.

Профіль захисту: вимоги безпеки [IT security requirements] - роз-


Частина II Основи безпеки інформаційних технологій

діл профілю захисту, що містить вимоги, яким повинен задовольняти ІТ-продукт для вирішення завдань захисту (типових, спеціальних і т. ін.). В розділі виставляються функціональні вимоги безпеки, вимоги гарантій безпеки, вимоги до середовища експлуатації.

Функціональні вимоги повинні містити тільки типові вимоги, пе­редбачені тільки відповідними розділами "Загальних критеріїв". Не­обхідно забезпечити такий рівень деталізації вимог, який дозволяє продемонструвати їх відповідність до завдань захисту. Функціональ­ні вимоги можуть дозволяти або забороняти використання конкре­тних методів і засобів захисту.

Вимоги гарантій містять посилання на типові вимоги рівнів гарантій "Загальних критеріїв", проте допускають і визначення дода­ткових вимог гарантій.

Вимоги до середовища експлуатації є необов'язковими і можуть містити функціональні вимоги та вимоги гарантій, яким повинні за­довольняти компоненти інформаційних технологій, що складають середовище експлуатації ІТ-продукту. На відміну від попередніх роз­ділів, використання типових вимог "Загальних критеріїв" є бажани­ми, але не обов'язковими.

Профіль захисту: додаткові відомості [РР application notes] - нео­бов'язковий розділ профілю захисту, що містить будь-яку додаткову інформацію, корисну для проектування, розробки, кваліфікаційного аналізу та сертифікації ІТ-продукту.

Профіль захисту: обґрунтування [rationale] — розділ профілю за­хисту, який повинен демонструвати, що профіль захисту містить повну й зв'язну множину вимог і що ІТ-продукт, який задовольняє їм, буде протистояти загрозам безпеці середовища експлуатації. Роз­діл складається з обґрунтування завдань захисту та обґрунтування вимог безпеки.

Обґрунтування завдань захисту повинно демонструвати, що зав­дання, які пропонуються у профілі, відповідають параметрам сере­довища експлуатації, а їх вирішення дозволить ефективно протисто­яти загрозам безпеці і реалізувати політику безпеки.

Обґрунтування вимог безпеки показує, що вимоги безпеки дозво­ляють ефективно вирішувати завдання захисту, оскільки:

• сукупність цілей окремих функціональних вимог безпеки відпо­відають встановленим завданням захисту;

• вимоги безпеки є пов'язаними, тобто не суперечать, а взаємно під­силюються; вибір вимог є виправданим (особливо це відноситься до додаткових вимог);


Розділ 8 Критерії безпеки інформаційних технологій

• вибраний набір функціональних вимог і рівень гарантій відповід­ають завданням захисту.

Профіль захисту служить керівництвом для виробника та роз­робника ІТ-продукту, які повинні на його основі і технічних реко­мендацій, що запропоновані ним, розробити проект захисту, який служить керівництвом для кваліфікаційного аналізу та сертифікації ІТ-продукту.


Дата добавления: 2015-07-11; просмотров: 57 | Нарушение авторских прав






mybiblioteka.su - 2015-2024 год. (0.007 сек.)