Основные концепции Общих критериев оценки безопасности информационных технологий Шеин Анатолий Васильевич Цнииатоминформ Минатома России.

Презентация:



Advertisements
Похожие презентации
Стандарт ISO Общие критерии оценки безопасности информационных технологий.
Advertisements

Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.
ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ Защита от несанкционированного доступа к информации.
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
Организация компьютерной безопасности и защита информации автор: Чекашов а Ирин а 10А учитель: Антонова Е.П год.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
ПРОЕКТ РУКОВОДЯЩЕГО ДОКУМЕНТА Гостехкомиссии России «СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ЗАЩИТА ИНФОРМАЦИИ ОТ НСД АЛГОРИТМЫ ЗАЩИТНОГО КОНТРОЛЬНОГО СУММИРОВАНИЯ.
ЗАЩИТА ИНФОРМАЦИИ ПОДГОТОВИЛА
Безопасность сервисов Дмитрий Истомин, директор по развитию Уральского центра систем безопасности.
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
Определение достаточности защиты информации М. Левашов 28 МАЯ 2009Г.
Информационная безопасность Лекция 2 Законодательный уровень обеспечения ИБ.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
Слайд 68 ЗАЩИТНЫЕ МЕХАНИЗМЫ И СРЕДСТВА У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1 – Тема 3.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
1 Концепция развития стандартизации в области информатизации здоровья и программа работ по ее реализации.
Транксрипт:

Основные концепции Общих критериев оценки безопасности информационных технологий Шеин Анатолий Васильевич Цнииатоминформ Минатома России

Рассматриваемые вопросы u Основные концепции Общих Критериев u Ряд требований, относящихся к защите телекоммуникаций u Структура и конструкции требований u О переходе к Общим критериям 1

Безопасность в ОБЩИХ КРИТЕРИЯХ u Защита информации u Угрозы, относящиеся к умышленным и прочим действиям человека u Угрозы ведут к снижению ценности информации l разглашение неуполномоченным получателям (конфиденциальность) l несанкционированная модификация (целостность) l несанкционированное лишение доступа (доступность) 2

Что такое Общие критерии? u Общие критерии – это набор критериев и инструментарий для построения требований u Такие требования служат в качестве l руководства для разработки продуктов с характеристиками безопасности в области ИТ l руководства для приобретения продуктов с требуемым набором характеристик безопасности в области ИТ l основы для оценки продуктов безопасности в области ИТ 3

Разработка критериев IS CC v 2.1 CC v 1.0 CC v 0.9 ITSEC v 1.2 Начата работанад стандартом ИСО Начата работа над стандартом ИСО Европейские национальные и региональные инициативы ITSEC v 1.0 US TCSEC «Оранжевая книга» NISTMSFR Федеральные критерии Канадский проект CTCPEC v 3.0 РД Гостехкомиссии 4

IS :Критерии оценки безопасности ИТ –. Часть 1: Введение и общая информация, 1999 г. IS :Критерии оценки безопасности ИТ – Часть 2: Функциональные требования безопасности, 1999 г. IS :Критерии оценки безопасности ИТ – Часть 3: Требования обеспечения уверенности в безопасности, 1999 г. Общие критерии – Стандарт ISO/IEC 5

Цели Общих критериев u Взаимное признание результатов оценок u Гармонизация существующих критериев безопасности u Гибкость при выражении требований безопасности u Система для дальнейшего развития критериев 6

Кто использует Общие критерии u Потребители u Разработчики u Оценщики 7

Потребители u Устанавливают требования к безопасности ИТ l Для своих систем l С учетом существующих требований u Стремятся к независимому подтверждению l Заявленных требований l Функций безопасности продуктов и систем 8

Разработчики u Учитывают требования u Обращаются к оценщикам для проверки соответствия требованиям u Предлагают продукты с целью стимулирования спроса 9

Оценщики u Обеспечивают независимую оценку u Нуждаются в ясном заявлении требований u Нуждаются в хорошего качества поставках (необходимой документации) для оценки u Стремятся достичь объективности u Отвечают перед органом по надзору за соответствие стандартам и качество оценки 10

Ключевые понятия Общих критериев u Информационные технологии (ИТ) l Обобщенный термин, относящийся к любой части или комбинации аппаратного обеспечения, программного обеспечения и/или аппаратно-программного обеспечения, имеющей определенное функциональное назначение u Объект оценки (ОО) l Предметом оценки являются продукт или система ИТ (или их часть) и ассоциируемая с ними документация для администратора и пользователя 11

Ключевые понятия Общих критериев u Продукт l Пакет аппаратного обеспечения, программного обеспечения и/или аппаратно-программного обеспечения ИТ, который обеспечивает функциональное назначение, предназначенное для использования или включения в разнообразные системы u Система l Специфическая установка ИТ с конкретным назначением и эксплуатационной средой u Функции безопасности объекта оценки l Сводный набор всех функций безопасности ОО, на которые необходимо полагаться для правильного осуществления политики безопасности ОО. 12

Ключевые понятия Общих критериев u Профиль защиты (ПЗ) l ПЗ определяет независимую от конкретной реализации совокупность требований ИТ для некоторой категории Объектов оценки u Задание по безопасности (ЗБ) l Набор требований и спецификаций для использования в качестве основы для оценки идентифицированного Объекта оценки 13

Краткое изложение концепции Общих критериев u Язык требований безопасности l Функциональные требования F Желаемое поведение для безопасности ИТ l Требования по обеспечению уверенности в безопасности F Меры, дающие основание для уверенности u В Профилях защиты (ПЗ) и Заданиях по безопасности (ЗБ) собраны требования по безопасности 14

РД Гостехкомиссии России u Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации u Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ u Требования по защите от НСД к информации в автоматизированных системах учета и контроля ядерных материалов 15

u Автоматизированные системы - 9 «Профилей защиты» u Средства вычислительной техники - 9 «Профилей защиты» u Автоматизированные системы учета и контроля ядерных материалов - 3 «Профиля защиты» 16

Структура требований Имя класса Семейство 1 Семейство 2 Семейство

Функциональные классы безопасности u Аудит безопасности u Связь u Криптографическая поддержка u Защита данных пользователя u Идентификация и аутентификация u Управление безопасностью u Приватность u Защита функций безопасности ОО u Использование ресурсов u Доступ к ОО u Доверенный маршрут 18

Классы обеспечения уверенности в безопасности u Управление конфигурацией u Поставка и эксплуатация u Разработка u Руководящие документы u Поддержка жизненного цикла u Поддержка обеспечения уверенности u Тестирование u Оценка уязвимостей Оценочные уровни уверенности в безопасности (ОУБ1 - ОУБ7) используют указанные классы 19

Функциональный класс «Связь» 20

u FCO_NRO.1 «Избирательное доказательство отправления» содержит требование, чтобы ФБО предоставили субъектам возможность запросить свидетельство отправления информации. u FCO_NRO.2» «Принудительное доказательство отправления» содержит требование, чтобы ФБО всегда генерировали свидетельство отправления переданной информации. 21

u FCO_NRO.1.1 ФБО должны быть способны генерировать свидетельство отправления передаваемой [назначение: список типов информации] при запросе [выбор: отправитель, получатель, [назначение: список третьих лиц]]. u FCO_NRO.1.2 ФБО должны быть способны связать [назначение: список атрибутов] отправителя информации и [назначение: список информационных полей] информации, к которой прилагается свидетельство. u FCO_NRO.1.3 ФБО должны предоставить возможность верифицировать свидетельство отправления информации [выбор: отправитель, получатель, [назначение: список третьих лиц]] при установленных [назначение: ограничения на свидетельство отправления]. 22

u Назначение: l В FCO_NRO.1.1 автору ПЗ/ЗБ следует указать типы информационных объектов, для которых требуется предоставление свидетельства отправления, например, сообщения электронной почты. u Выбор: l В FCO_NRO.1.1 автору ПЗ/ЗБ следует специфицировать пользователя/субъект, который может запросить свидетельство отправления. u Назначение: l В FCO_NRO.1.1 автору ПЗ/ЗБ в соответствии с выбором следует специфицировать третьих лиц, которые могут запросить свидетельство отправления. Третьим лицом может быть арбитр, судья или юридический орган. 23

(FCS_CKM) Управление криптографическими ключами 24

(FCS_COP) Криптографические операции u зашифрование и/или расшифрование данных u генерация и/или верификация цифровых подписей u генерация криптографических контрольных сумм и/или верификации контрольных сумм u хеширование (вычисление хеш-образа сообщения) u зашифрование и/или расшифрование криптографических ключей u согласование криптографических ключей 25

FCS_COP.1.1 u ФБО должны выполнять [назначение: список криптографических операций] в соответствии с определенными криптографическими алгоритмами [назначение: криптографические алгоритмы] и длиной криптографических ключей [назначение: длины криптографических ключей], которые отвечают следующему: [назначение: список стандартов]. 26

Класс FDP: Защита данных пользователя u Автономное хранение, импорт и экспорт данных: l FDP_DAU "Аутентификация данных"; l FDP_ETC "Экспорт данных за пределы действия ФБО"; l FDP_ITC "Импорт данных из-за пределов действия ФБО". u Связь между ФБО: l – FDP_UCT "Защита конфиденциальности данных пользователя при передаче между ФБО"; l – FDP_UIT "Защита целостности данных пользователя при передаче между ФБО". 27

Класс FIA: Идентификация и аутентификация u Семейства в этом классе содержат требования к функциям установления и верификации заявленного идентификатора пользователя. u Семейства этого класса связаны с определением и верификацией идентификаторов пользователей, определением их полномочий на взаимодействие с ОО, а также с правильной ассоциацией атрибутов безопасности с каждым пользователем. 28

Класс FPT: Защита ФБО u Этот класс содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, реализованными в ФБО, не завися при этом от особенностей ПБО, а также к целостности данных ФБО, не завися от специфического содержания данных ФБО. u В некотором смысле, семейства этого класса дублируют компоненты из класса FDP "Защита данных пользователя"; они могут даже использовать одни и те же механизмы. Однако класс FDP специализирован на защите данных пользователя, в то время как класс FPT нацелен на защиту данных ФБО. u Компоненты из класса FPT необходимы для обеспечения требований невозможности нарушения и обхода политик ФБ данного ОО. 29

u Доступность экспортируемых данных ФБО (FPT_ITA) l Это семейство определяет правила для предотвращения потери доступности данных ФБО, передаваемых между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО. u Конфиденциальность экспортируемых данных ФБО (FPT_ITC) l Это семейство определяет правила для защиты данных ФБО от несанкционированного раскрытия при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО. u Целостность экспортируемых данных ФБО (FPT_ITI) l Это семейство определяет правила для защиты данных ФБО от несанкционированной модификации при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО. 30

Класс FTP: Доверенный маршрут/канал u Доверенный канал передачи между ФБО (FTP_ITC) l Это семейство определяет правила создания доверенного канала между ФБО и другими доверенными продуктами ИТ для выполнения операций, критичных для безопасности. Это семейство используется, когда предъявляются требования безопасной передачи данных пользователя или ФБО между ОО и другими доверенными продуктами ИТ. u Доверенный маршрут (FTP_TRP) l Это семейство определяет требования установки и поддержания доверенной связи между пользователями и ФБО. Обмен по доверенному маршруту может быть инициирован пользователем при взаимодействии с ФБО, или же сами ФБО могут установить связь с пользователем по доверенному маршруту. 31

Переход к ОК u Продолжать сертификацию на соответствие действующим требованиям u Разрабатывать профили защиты u Предоставить Заявителю выбор сертификации на соответствие: l действующих РД l утвержденных профилей защиты Переход к ОК может проходить эволюционно 32