Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.

Презентация:



Advertisements
Похожие презентации
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
Advertisements

8. Федеральные критерии безопасности информационных технологий.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Стандарт ISO Общие критерии оценки безопасности информационных технологий.
Оценка уровня безопасности Тестировщики Подтверждение свойств и качества. Рекомендации по доработке Методика проверки Определение Условий эксплуатации.
Жизненный цикл программного обеспечения Лекция 4.
Жизненный цикл программного обеспечения Подготовил студент 1 курса Лось Павел.
ПРОЕКТИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ. ИНФОРМАЦИЯ Информация – сведения о людях, фактах, явлениях, событиях в независимости от формы их представления.
Информационная безопасность Лекция 3 Административный уровень.
Мониторинг внедрения ИТ и ИС. Критерии эффективности ИР использование по времени; использование по мощности. В основе любой ИС лежит совокупность приложений,
Информационные системы Что такое ИС? Функции ИС Жизненные циклы ИС: Понятия Процессы Стадии Модели Основные способы построения ИС.
Положение об отделе В.Андреев, Д.Сатин. Штат отдела начальник отдела; бизнес-аналитик; проектировщик пользовательских интерфейсов; специалист по анализу.
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ.
Лабораторная работа 1. Целеориентированный подход В данной лабораторной работе рассматривается целеориентированный под- ход к разработке прототипа программного.
Проект п-Ф-192 Научно-исследовательская работа «РАЗРАБОТКА СТРУКТУРЫ И МЕТОДИКИ ФОРМИРОВАНИЯ ЕДИНОГО ФЕДЕРАЛЬНОГО БАНКА ИЗМЕРИТЕЛЬНЫХ МАТЕРИАЛОВ.
Структура ISO 9001 : 2000 ОТВЕТСТВ. РУКОВОДСТВА УПРАВЛЕНИЕ РЕСУРСАМИ ПРОЦЕССЫ ЖЦ ПРОДУКЦИИ ИЗМЕРЕНИЕ, АНАЛИЗ И УЛУЧШЕНИЕ обязательства Ориентация на потребителя.
Банк данных (БнД) это система специальным образом организованных данных баз данных, программных, технических, языковых, организационно-методических средств,
Транксрипт:

Канадские критерии безопасности Созданы в 1993г

Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных компьютерных систем Основа для разработки спецификаций безопасных компьютерных систем Средства для описания характеристик безопасных компьютерных систем Средства для описания характеристик безопасных компьютерных систем

Все компоненты системы, находящиеся под управлением ТСВ называются объектами. Объект-пользователь Объект-процесс Пассивный объект

Пользователь - физическое лицо, взаимодействующее с системой Процесс программа, выполнение которой инициировано пользователем. Объект - пассивный элемент, над которым выполняют действия пользователи и процессы.

Оранжевая книга СубъектОбъект ПользовательПроцесс Канадские критерии Соответствие «Оранжевой книги» и «Канадских критериев безопасности»

Требования безопасности представлены в виде: функциональных требований к средствам защиты функциональных требований к средствам защиты требований к адекватности их реализации. требований к адекватности их реализации.

Критерии конфиденциаль- ности Критерии целостности Критерии работоспособ- ности Критерии аудита

Произвольное управление доступом Нормативное управление доступом Повторное использование объектов Контроль скрытых каналов

Произвольное управление целостностью Нормативное управление целостностью Физическая целостность Домены целостности Возможность осуществления отката Разделение ролей Самотестирование

Устойчивость к отказам и сбоям ЖивучестьВосстановление Контроль за распределением ресурсов

Идентификация и аутентификация Прямое взаимодействие с ТСВ. Регистрация и учет событий в системе

Внутри каждой группы функциональных критериев определены уровни безопасности, отражающие возможности средств защиты по решению задач данного раздела. Внутри каждой группы функциональных критериев определены уровни безопасности, отражающие возможности средств защиты по решению задач данного раздела. Уровни с большим номером обеспечивают более высокую степень безопасности. Уровни с большим номером обеспечивают более высокую степень безопасности.

Критерии адекватности определяют требования к процессу проектирования и разработки компьютерной системы. Критерии адекватности определяют требования к процессу проектирования и разработки компьютерной системы. Рассматриваются без разделения на подгруппы. Рассматриваются без разделения на подгруппы. Уровень адекватность присваивается всей системе в целом. Уровень адекватность присваивается всей системе в целом. Более высокий уровень означает более полную и корректную реализацию политики безопасности. Более высокий уровень означает более полную и корректную реализацию политики безопасности.

Критерии адекватности Архитектура системы Архитектура системы Среда разработки Среда разработки Контроль процесса разработки Контроль процесса разработки Поставка и сопровождение Поставка и сопровождение Документация Документация Тестирование безопасности Тестирование безопасности

Приложения к «Канадским критериям» включают в себя описание предложенной концепции описание предложенной концепции руководства по применению критериев руководства по применению критериев набор стандартных профилей защиты набор стандартных профилей защиты ранжированный перечень функциональных критериев и критериев адекватности ранжированный перечень функциональных критериев и критериев адекватности

Выводы Впервые отделены функциональные требования от требований адекватности Впервые отделены функциональные требования от требований адекватности Используется независимое ранжирование требований по каждому разделу. Используется независимое ранжирование требований по каждому разделу. Уровень адекватности характеризует качество всей системы в целом. Уровень адекватности характеризует качество всей системы в целом.

Конец лекции 8

Единые критерии безопасности 1999г

Цель разработки: Объединить основные положения «Европейских критериев», «Федеральных критериев» и «Канадских критериев» безопасности компьютерных систем". Объединить основные положения «Европейских критериев», «Федеральных критериев» и «Канадских критериев» безопасности компьютерных систем".

«Единые критерии» удовлетворяют запросы трех групп специалистов: потребителей продуктов ИТ потребителей продуктов ИТ Производителей Производителей экспертов по квалификации уровня их безопасности экспертов по квалификации уровня их безопасности

В концепцию "Единых критериев" входят все аспекты процесса проектирования, производства и эксплуатации ИТ- продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.

Основные положения

Задачи защиты выражает потребность потребителей ИТ-продукта в противостоянии заданному множеству угроз безопасности или в необходимости реализации политики безопасности

Профиль защиты специальный нормативный документ, представляющий собой совокупность: Задач защиты, Задач защиты, функциональных требований, функциональных требований, требований адекватности требований адекватности и их обоснования. и их обоснования. Служит руководством для разработчика ИТ продукта при создании Проекта защиты. Служит руководством для разработчика ИТ продукта при создании Проекта защиты.

Проект защиты специальный нормативный документ, представляющий собой совокупность: Проект защиты специальный нормативный документ, представляющий собой совокупность: Задач защиты, Задач защиты, функциональных требований, функциональных требований, требований адекватности, требований адекватности, общих спецификаций средств защиты общих спецификаций средств защиты и их обоснования. и их обоснования. В ходе квалификационного анализа служит в качестве описания ИТ-продукта. В ходе квалификационного анализа служит в качестве описания ИТ-продукта.

Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ- продукт в ходе квалификационного анализа. Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ- продукт в ходе квалификационного анализа.

Для проведения квалификационного анализа разработчик продукта должен представить: Профиль защиты; Профиль защиты; Проект защиты; Проект защиты; обоснования и подтверждения свойств и возможностей ИТ-продукта; обоснования и подтверждения свойств и возможностей ИТ-продукта; ИТ-продукт; ИТ-продукт; дополнительные сведения, полученные путем проведения независимых экспертиз. дополнительные сведения, полученные путем проведения независимых экспертиз.

Процесс квалификационного анализа включает три стадии: Анализ Профиля защиты Анализ Профиля защиты Анализ Проекта защиты. Анализ Проекта защиты. Анализ ИТ-продукта на предмет соответствия Проекту защиты. Анализ ИТ-продукта на предмет соответствия Проекту защиты.

Результат квалификационного анализа – заключение о том, что ИТ-продукт соответствует представленному Проекту защиты.

Профиль защиты Определяет требования безопасности к определенной категории ИТ-продуктов

Введение - информация, необходимая для поиска профиля защиты Введение - информация, необходимая для поиска профиля защиты Идентификатор - уникальное имя профиля Идентификатор - уникальное имя профиля Условия эксплуатации - ограничения на условия его применения Условия эксплуатации - ограничения на условия его применения Основные понятия

Основные требования Функциональные требования Функциональные требования Требования адекватности Требования адекватности Требования к среде эксплуатации Требования к среде эксплуатации

Конец лекции 9