Стандарт ISO 15408 - Общие критерии оценки безопасности информационных технологий.

Презентация:



Advertisements
Похожие презентации
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Advertisements

Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
8. Федеральные критерии безопасности информационных технологий.
Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности.
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ М.В. Большаков Институт проблем информационной безопасности МГУ им. М.В. Ломоносова.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Основные концепции Общих критериев оценки безопасности информационных технологий Шеин Анатолий Васильевич Цнииатоминформ Минатома России.
Свободное программное обеспечение и доверие к безопасности информационных систем Александр Трубачев Заместитель Председателя ООО «Центр безопасности информации»
ГСНТИ задание 2.2«Разработать сервер доступа к библиотечным информационным ресурсам по протоколу z39.50 и систему обслуживания по принципу «Одно.
Учебный курс Стандартизация и сертификация программного обеспечения Лекция 7 доктор технических наук, профессор, проректор по информатизации, заведующий.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
Положение об отделе В.Андреев, Д.Сатин. Штат отдела начальник отдела; бизнес-аналитик; проектировщик пользовательских интерфейсов; специалист по анализу.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Жизненный цикл программного обеспечения Лекция 4.
Безопасность информации электронного правительства 3-я Международная конференция "Россия – Балканы: доверие и безопасность в информационном обществе
Транксрипт:

Стандарт ISO Общие критерии оценки безопасности информационных технологий

ISO В 1990 году под эгидой Международной организации по стандартизации (ISO) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта в области оценки безопасности ИТ. Разработка этого стандарта преследовала следующие основные цели: унификация национальных стандартов в области оценки безопасности ИТ ; повышения уровня доверия к оценке безопасности ИТ; сокращения затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Стандарт ISO Общие критерии оценки безопасности информационных технологий под названием: В мае 1998 года была опубликована версия 2.0 нового стандарта «Общих критериев» и на её основе в 1999 году принят международный стандарт ISO/IEC под названием: Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно – Common Criteria). Новый стандарт обобщил содержание и опыт использования «Оранжевой книги», развил уровни уверенности как в успешном национальном стандарте «Европейские критерии» и воплотил в реальные структуры концепцию профилей защиты Федеральных критериев США.

Общие критерии не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы. «Общие критерии» не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы. Так же, не приводятся списка требований по безопасности или списка особенностей, которые должен содержать продукт (компьютерная программа для безопасности). Вместо этого он описывает инфраструктуру (framework), в которой Вместо этого он описывает инфраструктуру (framework), в которой: o потребители компьютерной системы - могут описать требования; o разработчики могут заявить о свойствах безопасности продуктов; o эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. В стандарте наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня.

С программистской точки зрения Общие критерии можно считать набором библиотек, помогающих писать содержательные программы – задания по безопасности, типовые профили защиты и т.п. С программистской точки зрения « Общие критерии » можно считать набором библиотек, помогающих писать содержательные « программы » – задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, с нуля, программы не пишут уже очень давно. Оценка безопасности тоже вышла на сопоставимый уровень сложности, и Common Criteria предоставили соответствующий инструментарий. Без библиотек, « с нуля », программы не пишут уже очень давно. Оценка безопасности тоже вышла на сопоставимый уровень сложности, и « Common Criteria » предоставили соответствующий инструментарий. Важно отметить, что требования могут быть параметризованный, как и полагается библиотечным функциям Важно отметить, что требования могут быть параметризованный, как и полагается библиотечным функциям.

Общие критерии содержат два основных вида требований Функциональные требования Требования доверия соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации ИС Требования безопасности предъявляются для определенного программно-аппаратного продукта, а их выполнение проверяется с целью оценки уровня информационной безопасности.

Функциональные Функциональныетребования Аутентификация и идентификация Защита функциональной безопасности Управление и аудит безопасности Доступ к объекту оценки

Функциональные Функциональныетребования Приватность (защита пользователя от раскрытия и использования его идентификационных данных) Использование ресурсов (требование доступности информации) Криптографическая поддержка Связь (аутентификация сторон при обмене данными) Доверенный маршрут (канал для связи с сервисами безопасности)

Требования Требованиядоверия Требования к разработке системы (поэтапная детализация функций безопасности) Поддержка жизненного цикла (требование к модели жизненного цикла) Оценка уязвимостей (включая оценку стойкости функций безопасности) Тестирование Поставка и эксплуатация

Требования Требованиядоверия Управление конфигурацией Поддержка доверия Руководства (требования к эксплуатационной документации) Оценка профиля защиты Оценка задания на безопасность

Угрозы информационной безопасности Общие критерии рассматривают объект оценки в контексте некоторой среды безопасности, характеризующейся определенными условиями и угрозами.« Общие критерии » рассматривают объект оценки в контексте некоторой среды безопасности, характеризующейся определенными условиями и угрозами. Для характеристики угрозы информационной безопасности используются следующие параметры:Для характеристики угрозы информационной безопасности используются следующие параметры: –Источник угрозы; –Метод воздействия на объект оценки; –Уязвимости, которые могут быть использованы; –Ресурсы, которые могут пострадать от реализации.

Профиль защиты Одним из основных нормативных документов, определяемых в Общих критериях является профиль защиты.Одним из основных нормативных документов, определяемых в « Общих критериях » является профиль защиты. Профиль защиты – документ, включающий в себя типовой набор требований, которым должны удовлетворять системы.Профиль защиты – документ, включающий в себя типовой набор требований, которым должны удовлетворять системы. Задание по безопасности (проект защиты) – содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей.Задание по безопасности (проект защиты) – содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей.