Международные нормативно-правовые акты обеспечения ИБ
Конспект лекции № 9 В международной практике обеспечения ИБ основными направлениями являются: нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных технологий; стандартизация процессов создания безопасных информационных систем. Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC (Критерии оценки защищенности надежных систем), или «Оранжевую книгу» (по цвету переплета), где были определены семь уровней безопасности (A J — гарантированная защита; B1, B2, ВЗ — полное удовлетворение доступом; C1, C2 — избирательное управление доступом; D — минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга» (по цвету переплета). В свою очередь, Агентство информационной безопасности ФРГ подготовило Green Book («Зеленую книгу»), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе. В 1990 г. «Зеленая книга» была одобрена ФРГ, Великобританией, Францией и Нидерландами и направлена в ЕС, где на ее основе были подготовлены ITSEC (Критерии оценки защищенности информационных технологий), или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачу данных). В «Белой книге» названы основные компоненты безопасности по критериям ITSEC: 1) информационная безопасность; 2) безопасность системы; 3) безопасность продукта; 4) угроза безопасности; 5) набор функций безопасности; 6) гарантированность безопасности; 7) общая оценка безопасности; 8) классы безопасности. Согласно европейским критериям ITSEC информационная безопасность включает в себя шесть основных элементов детализации: 1) цели безопасности и функции ИБ; 2) спецификация функций безопасности: идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе средств контроля целостности и функции для ограничения числа повторных попыток аутентификации); управление доступом (в том числе функции безопасности, которые обеспечивают: временное ограничение доступа к совместно используемым объектам для поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных); подотчетность (протоколирование); аудит (независимый контроль); повторное использование объектов; точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации)); надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда когда нужно (некритичные действия нельзя перенести в разряд критичных, авторизованные пользователи за разумное время получат запрашиваемые ресурсы); функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т.е. безопасности данных, передаваемых по каналам связи); обмен данными; 3) конфиденциальность информации (защита от несанкционированного получения информации); 4) целостность информации (защита от несанкционированного изменения информации); 5) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы); 6) описание механизмов безопасности. При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности — их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие «эффективность» включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируется три степени мощности (базовая, средняя и высокая). При проверке корректности анализируется правильность и надежность реализации функций безопасности. По ITSEC декларируется семь уровней корректности — от ЕО до Е6. Общая оценка безопасности системы по ITSEC состоит из двух компонент: оценки уровня гарантированной эффективности механизмов (средств) безопасности и уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты). В «Европейских критериях» устанавливается 10 классов безопасности (F-C1, F-C2, F-B1, F-B2, F-B3, F-1N, F-AV, F-DI, F-DC, F-DX). Первые пять классов аналогичны классам C1, C2, B1, B2, ВЗ американских критериев TCSEC. Класс F-1N предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AVпредназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами). Класс F-DI ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-DI и F-DC. Канада разработала СТСРЕС, США разработали новые «Федеральные Критерии» (Federal Criteria). Так как эти критерии являются несовместимыми между собой, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common Criteria (CC). Общие критерии дают набор критериев по оценке защищенности и устанавливают требования к функциональным возможностям и гарантиям; семь уровней доверия (Уровни гарантий при оценке), которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии); два понятия: «профиль защиты» и «цель безопасности».
Популярное: Почему двоичная система счисления так распространена?: Каждая цифра должна быть как-то представлена на физическом носителе... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (679)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |