Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:

Презентация:



Advertisements
Похожие презентации
Стандарт ISO Общие критерии оценки безопасности информационных технологий.
Advertisements

Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
8. Федеральные критерии безопасности информационных технологий.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
Информационная безопасность Лекция 3 Административный уровень.
Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности.
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и.
Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
Оценка уровня безопасности Тестировщики Подтверждение свойств и качества. Рекомендации по доработке Методика проверки Определение Условий эксплуатации.
1 Информационная безопасность Лекция 2 Законодательный уровень обеспечения ИБ.
Информационная система управления – это «совокупность информации, экономико- математических методов и моделей, технических, программных, других технологических.
2 Основным понятием программной инженерии является понятие жизненного цикла ПО. Жизненный цикл ПО (software lifecycle) – это период времени, который начинается.
Транксрипт:

Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии: класс – семейство – компонент – элемент 4. Функциональные требования 5. Требования доверия

1 Введение Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" "Общие критерии" Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. "Общие критерии" – мета стандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования. «Общие критерии» Функциональные требования Требования доверия

2 Требования безопасности к информационным системам Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями". два основных вида требований безопасности Как и "Оранжевая книга", "Общие критерии" содержат два основных вида требований безопасности: функциональные функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам; требования доверия требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации. Безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Угрозы безопасности параметрами Угрозы безопасности характеризуются следующими параметрами: источник угрозы; метод воздействия; уязвимые места, которые могут быть использованы; ресурсы (активы), которые могут пострадать.

3 Принцип иерархии: класс – семейство – компонент – элемент Для структуризации пространства требований, в "Общих критериях" введена иерархия класс – семейство – компонент – элемент. Классы Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности). Семейства Семейства в пределах класса различаются по строгости и другим тонкостям требований. Компонент Компонент – минимальный набор требований, фигурирующий как целое. Элемент Элемент – неделимое требование. Между компонентами могут существовать зависимости, которые возникают, когда компонент сам по себе недостаточен для достижения цели безопасности.

"Общие критерии" позволяют с помощью подобных библиотек (компонент) формировать два вида нормативных документов: профиль защиты и задание по безопасности. Профиль защиты Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях). Задание по безопасности Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности. Функциональный пакет – это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности. Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно- ориентированных языках программирования.

4 Функциональные требования Все функциональные требования объединены в группы на основе выполняемой ими роли или обслуживаемой цели безопасности. классы функциональных требований "Общие критерии" включают следующие классы функциональных требований: Идентификация и аутентификация. Защита данных пользователя. Защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов). Управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности). Аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности). Доступ к объекту оценки. Приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных). Использование ресурсов (требования к доступности информации). Криптографическая поддержка (управление ключами). Связь (аутентификация сторон, участвующих в обмене данными). Доверенный маршрут/канал (для связи с сервисами безопасности).

Отказоустойчивость Отказоустойчивость Требования этого семейства направлены на сохранение доступности информационных сервисов даже в случае сбоя или отказа. В стандарте различаются активная (специальные функции, которые активизируются в случае сбоя) и пассивная (наличие избыточности с возможностью нейтрализации ошибок) отказоустойчивость. Распределение ресурсов Требования направлены на защиту (путем применения механизма квот) от несанкционированной монополизации ресурсов. Класс «Использование ресурсов» Обслуживание по приоритетам Обслуживание по приоритетам Выполнение этих требований позволяет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным.

5 Требования доверия доверия Установление доверия безопасности основывается на активном исследовании объекта оценки. Форма представления требований доверия, та же, что и для функциональных требований (класс – семейство – компонент). Классы требований доверия безопасности: 1. Разработка (требования для поэтапной детализации функций безопасности от краткой спецификации до реализации). 2. Поддержка жизненного цикла (требования к модели жизненного цикла, включая порядок устранения недостатков и защиту среды разработки). 3.Тестирование. 4. Оценка уязвимостей (включая оценку стойкости функций безопасности). 5. Поставка и эксплуатация. 6. Управление конфигурацией. 7. Руководства (требования к эксплуатационной документации). 8. Поддержка доверия (для поддержки этапов жизненного цикла после сертификации). 9. Оценка профиля защиты. 10. Оценка задания по безопасности. уровни доверия Применительно к требованиям доверия в "Общих критериях" введены оценочные уровни доверия (их семь).

Спасибо за внимание!