8. Федеральные критерии безопасности информационных технологий. - презентация

1 8. Федеральные критерии безопасности информационных технологий

2 8.1. Цель разработки

3 "Федеральные критерии безопасности информационных технологий" «Федеральные критерии» - основа для разработки и сертификации компонентов информационных технологий с точки зрения безопасности. разрабатывались как часть "Американского федерального стандарта по обработке информации, призванного заменить "Оранжевую книгу".

4 Определение универсального набора требований безопасности, предъявляемых к современным информационным технологиям. Совершенствование существующих требований и критериев безопасности. Нормативное закрепление принципов информационной безопасности. Цели создания «Федеральных критериев»:

5 8.2. Основные положения

6 включают все аспекты обеспечения: конфиденциальности, целостности, работоспособности. Объекты применения требований безопасности "Федеральных критериев": продукты информационных технологий (IT-продукты); системы обработки информации. "Федеральные критерии"

7 Продукты информационных технологий – это совокупность: аппаратных, программных средств, Поставляемое конечному потребителю средство обработки информации. IT-продукт интегрируется в систему обработки информации.

8 Система обработки информации – совокупность IT-продуктов, объединенных в комплекс. Разрабатывается для решения прикладных задач. Иногда система обработки информации может состоять только из одного IT - продукта.

9 Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности IT -продуктов.

10 нормативный документ, регламентирующий все аспекты безопасности IT-продукта в виде требований к его: проектированию, технологии разработки, квалификационному анализу. Один Профиль защиты описывает несколько близких по структуре и назначению IT-продуктов. Профиль защиты Профиль защиты:

11 Этапы разработки систем обработки информации: Разработка и анализ Профиля защиты; разработка и квалификационный анализ IT-продуктов; компоновка и сертификация системы обработки информации в целом.

12 Разработка и анализ профиля защиты Профиль защиты: содержит требования безопасности содержит требования по соблюдению технологической дисциплины в процессе: разработки, тестирования, квалификационного анализа IT-продукта. анализируется на: полноту, непротиворечивость, техническую корректность. Профиль защиты

13 Разработка и квалификационный анализ IT-продуктов IT-продукты подвергаются анализу для определения соответствия характеристик продукта требованиям, сформулированным в Профиле защиты.

14 Компоновка и сертификация системы обработки информации в целом Успешно прошедшие квалификацию уровня безопасности IT-продукты интегрируются в систему обработки информации.

15 8.3. Профиль защиты

16 8.3.1 Назначение и структура Профиля защиты

17 Профиль защиты предназначен для: определения и обоснования состава и содержания средств защиты; спецификации технологии разработки; регламентации процесса квалификационного анализа IT-продукта.

18 Состав Профиля защиты: описание; обоснование; функциональные требования к IT-продукту; Требования к технологии разработки IT-продукта; требования к процессу квалификационного анализа IT-продукта.

19 содержит информацию, необходимую для его идентификации в специальной картотеке. Описание профиля Должна быть охарактеризована основная группа проблем обеспечения безопасности, решаемых с помощью данного Профиля.

20 описание среды эксплуатации; предполагаемых угроз безопасности; методов использования IT-продукта. Обоснование содержит: Обоснование помогает определить, пригоден ли данный Профиль защиты для применения в данной ситуации.

21 Функциональные требования к IT-продукту это описание возможностей средств защиты IT-продукта перечень угроз, которым успешно противостоят предложенные средства защиты. и определение условий, в которых обеспечивается безопасность –

22 Раздел требований к технологии разработки IT-продукта содержит требования: к самому процессу разработки; к условиям, в которых проводится разработка; к используемым технологическим средствам; к документированию разработки.

23 Раздел требований к процессу квалификационного анализа IT-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследований и тестирования IT-продукта.

24 Этапы разработки Профиля защиты

25 Разработка Профиля защиты осуществляется в 3 этапа: анализ среды применения IT-продукта с точки зрения безопасности; выбор Профиля-прототипа; синтез требований.

26 Схема разработки Профиля защиты согласно «Федеральным критериям» Этап I Анализ среды применения IT-продукта Предполагаемые угрозы Слабые места в механизмах защиты Политика безопасности Нормативные документы и стандарты Этап II Выбор прототипа в картотеке профилей Этап III Профиль защиты Описание Обоснование Функциональные требования Требования к технологии разработки Требования к процессу эволюции Профиль защиты 1 Профиль защиты 2 Профиль защиты 3

27 Конец лекции 5