8. Федеральные критерии безопасности информационных технологий.

Презентация:



Advertisements
Похожие презентации
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
Advertisements

Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
Жизненный цикл программного обеспечения Лекция 4.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
Жизненный цикл программного обеспечения Подготовил студент 1 курса Лось Павел.
Проект п-Ф-192 Научно-исследовательская работа «РАЗРАБОТКА СТРУКТУРЫ И МЕТОДИКИ ФОРМИРОВАНИЯ ЕДИНОГО ФЕДЕРАЛЬНОГО БАНКА ИЗМЕРИТЕЛЬНЫХ МАТЕРИАЛОВ.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Стандарт ISO Общие критерии оценки безопасности информационных технологий.
Специальность « Организация защиты информации»
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
Технический проект системы Технический проект системы - это техническая документация, содержащая общесистемные проектные решения, алгоритмы решения задач,
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
Информационная безопасность Лекция 3 Административный уровень.
Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.
Разработка и стандартизация программных средств и информационных технологий Тема:СТАНДАРТЫ, РЕГЛАМЕНТИРУЮЩИЕ ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА ПРОГРАММНЫХ СРЕДСТВ.
Программа повышения квалификации «Обеспечение функционирования ситуационных центров органов государственной власти субъектов РФ с учетом требований информационной.
Сергеев Сергей ИВТ РАЗРАБОТАН федеральным государственным бюджетным образовательным учреждением высшего профессионального образования Московским.
Направление подготовки: «Информационная безопасность» Степень: бакалавр.
ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ Защита от несанкционированного доступа к информации.
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ М.В. Большаков Институт проблем информационной безопасности МГУ им. М.В. Ломоносова.
Транксрипт:

8. Федеральные критерии безопасности информационных технологий

8.1. Цель разработки

"Федеральные критерии безопасности информационных технологий" «Федеральные критерии» - основа для разработки и сертификации компонентов информационных технологий с точки зрения безопасности. разрабатывались как часть "Американского федерального стандарта по обработке информации, призванного заменить "Оранжевую книгу".

Определение универсального набора требований безопасности, предъявляемых к современным информационным технологиям. Совершенствование существующих требований и критериев безопасности. Нормативное закрепление принципов информационной безопасности. Цели создания «Федеральных критериев»:

8.2. Основные положения

включают все аспекты обеспечения: конфиденциальности, целостности, работоспособности. Объекты применения требований безопасности "Федеральных критериев": продукты информационных технологий (IT-продукты); системы обработки информации. "Федеральные критерии"

Продукты информационных технологий – это совокупность: аппаратных, программных средств, Поставляемое конечному потребителю средство обработки информации. IT-продукт интегрируется в систему обработки информации.

Система обработки информации – совокупность IT-продуктов, объединенных в комплекс. Разрабатывается для решения прикладных задач. Иногда система обработки информации может состоять только из одного IT - продукта.

Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности IT -продуктов.

нормативный документ, регламентирующий все аспекты безопасности IT-продукта в виде требований к его: проектированию, технологии разработки, квалификационному анализу. Один Профиль защиты описывает несколько близких по структуре и назначению IT-продуктов. Профиль защиты Профиль защиты:

Этапы разработки систем обработки информации: Разработка и анализ Профиля защиты; разработка и квалификационный анализ IT-продуктов; компоновка и сертификация системы обработки информации в целом.

Разработка и анализ профиля защиты Профиль защиты: содержит требования безопасности содержит требования по соблюдению технологической дисциплины в процессе: разработки, тестирования, квалификационного анализа IT-продукта. анализируется на: полноту, непротиворечивость, техническую корректность. Профиль защиты

Разработка и квалификационный анализ IT-продуктов IT-продукты подвергаются анализу для определения соответствия характеристик продукта требованиям, сформулированным в Профиле защиты.

Компоновка и сертификация системы обработки информации в целом Успешно прошедшие квалификацию уровня безопасности IT-продукты интегрируются в систему обработки информации.

8.3. Профиль защиты

8.3.1 Назначение и структура Профиля защиты

Профиль защиты предназначен для: определения и обоснования состава и содержания средств защиты; спецификации технологии разработки; регламентации процесса квалификационного анализа IT-продукта.

Состав Профиля защиты: описание; обоснование; функциональные требования к IT-продукту; Требования к технологии разработки IT-продукта; требования к процессу квалификационного анализа IT-продукта.

содержит информацию, необходимую для его идентификации в специальной картотеке. Описание профиля Должна быть охарактеризована основная группа проблем обеспечения безопасности, решаемых с помощью данного Профиля.

описание среды эксплуатации; предполагаемых угроз безопасности; методов использования IT-продукта. Обоснование содержит: Обоснование помогает определить, пригоден ли данный Профиль защиты для применения в данной ситуации.

Функциональные требования к IT-продукту это описание возможностей средств защиты IT-продукта перечень угроз, которым успешно противостоят предложенные средства защиты. и определение условий, в которых обеспечивается безопасность –

Раздел требований к технологии разработки IT-продукта содержит требования: к самому процессу разработки; к условиям, в которых проводится разработка; к используемым технологическим средствам; к документированию разработки.

Раздел требований к процессу квалификационного анализа IT-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследований и тестирования IT-продукта.

Этапы разработки Профиля защиты

Разработка Профиля защиты осуществляется в 3 этапа: анализ среды применения IT-продукта с точки зрения безопасности; выбор Профиля-прототипа; синтез требований.

Схема разработки Профиля защиты согласно «Федеральным критериям» Этап I Анализ среды применения IT-продукта Предполагаемые угрозы Слабые места в механизмах защиты Политика безопасности Нормативные документы и стандарты Этап II Выбор прототипа в картотеке профилей Этап III Профиль защиты Описание Обоснование Функциональные требования Требования к технологии разработки Требования к процессу эволюции Профиль защиты 1 Профиль защиты 2 Профиль защиты 3

Конец лекции 5