Основные идеи «Общих критериев»
Основное свойство «Общих критериев» (ОК) - это максимально возможная универсальность: под объектом оценки (ОО) понимается произвольный продукт информационных технологий или система с руководствами администратора и пользователя. Продукт рассматривается как совокупность программных, программно-аппаратных или аппаратных средств информационных технологий, предоставляющая определённые функциональные возможности и предназначенная для непосредственного использования или включения в состав различных систем. В свою очередь, система — это специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации. Предполагается, что общие критерии могут быть использованы следующими категориями пользователей: Потребители. ОК позволяют определить, вполне ли оцениваемый продукт или система удовлетворяют нх потребностям в безопасности. Разработчики ОК могут быть использованы для формирования утверждения о соответствии объекта оценки установленным требованиям. З. Оценщики Стандарт может быть использован при формировании заключения о соответствии ОО предъявляемым к ним требованиям безопасности. Объект оценки рассматривается в контексте среды безопасности, в которую включаются: - законодательная среда — законы и нормативны акты, затрагивающие ОО; - административная среда — положения политик безопасности, затрагивающих ОО и учитывающих его особенности; - процедурная среда — меры физической защиты, персонал и его специфика; - программно-техническая среда — назначение ОО, предполагаемые области его применения. При подготовке к оценке формализуются следующие аспекты среды ОО: Предположения безопасности Предположения выделяют ОО из общего контекста и задают границы его рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. Иными словами предполагается, что объект оценки будет использоваться в нормальных условиях (а не в условиях боевых действий) и требования относительно среды безопасности соблюдены. При проведении оценки предположения безопасности принимаются без доказательств. Угрозы безопасности Выделяются угрозы, наличие которых в рассматриваемой среде установлено или предполагается. Угроза характеризуется следующими параметрами: - источник угрозы; - предполагаемый способ реализации угрозы; - уязвимости, которые являются предпосылкой для реализации угрозы; - активы, которые являются целью нападения; - нарушаемые свойства безопасности активов; - возможные последствия реализации угрозы. З. Политика безопасности Излагаются положения политики безопасности, применяемые в организации, которые имеют непосредственное отношение к ОО. На основании сформулированных предположений безопасности, при учёте угроз и политик формулируются цели безопасности для ОО, направленные на обеспечение противостояния угрозам и выполнение положений политики безопасности. Для достижения поставленных целей к ОО и его среде предъявляются требования безопасности. Вторая и третья части «Общих критериев» представляют собой каталоги требований безопасности двух типов: функциональных и доверия. - Функциональные требования безопасности (Часть 2) —предъявляются к функциям безопасности ОО и реализующим их механизмам. Функциональные требования относятся к сервисам безопасности, таким как идентификация, аутентификация, управление доступом, аудит и т.д. - Требования доверия (Часть 3) — предъявляются к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации и т.д. Описание обоих типов требований выполнено в едином стиле: они организованы в иерархию "класс - семейство - компонент - элемент". Термин "класс" используется для наиболее общей группировки требований безопасности, а элемент - самый нижний, неделимый уровень требований безопасности. При формулировании требований к ОО могут быть разработаны два документа: 1. Профиль защиты — типовой набор требований для некоторой категории ОО. Профиль защиты определяется как "независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя". Профиль защиты (ПЗ) не привязан к конкретному 00 и представляет собой обобщенный стандартный набор функциональных требований и требований доверия для определенного класса продуктов или систем. Например, может быть разработан профиль защиты на межсетевой экран корпоративного уровня, на операционную систему для правительственных организаций, и т.д. 2. Задание по безопасности — документ, содержащий требования безопасности для конкретной разработки, выполнение которых обеспечивает достижение поставленных целей безопасности. В задании по безопасности (ЗБ) может быть заявлено соответствие одному или нескольким профилям защиты.
Популярное: Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (759)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |