Сделать домашней|Добавить в избранное
 

Сто процентов правильный ответ на ваш вопрос
у нас вы всегда смотеже найти ответы на вопросы
экзамена и зачета.

 
на правах рекламы

Ответ на вопрос "Общие критерии"

Автор: admin от 2-01-2013, 11:52
     Как для «Оранжевой книги», так и для в целом аналогичных ей руководящих документов Гостехкомиссии России, характерны многочисленные недостатки. Наиболее существенные из них:
- Документы ориентированы на обеспечение защиты информации от угроз нарушения конфиденциальности и, в определённой степени, целостности. Угрозы нарушения доступности практически не рассматриваются.
- Используемый «табличный» подход не позволяет учесть специфику конкретных систем или продуктов, в том числе порядок обработки информации в автоматизированной системе. Так, например, понятие «политика безопасности» в РД Гостехкомиссии России не упоминается.
- Документы содержат перечень механизмов, наличие которых необходимо для
отнесения СВТ или АС к тому или иному классу защищённости. При этом
совершенно не формализованы методы проверки корректности и адекватности
реализации функциональных требований.
- Формулировки ряда требований чрезвычайно туманны и допускают неоднозначную интерпретацию.
     В целом, РЛ Гостехкомиссии России и «Оранжевая книга», как и все другие оценочные стандарты первого поколения, создавались для давно ушедшей в прошлое материально-технической базы и по целому ряду аспектов являются морально устаревшими.
     Стандарт ISO/IEC 15408-1999 "Common Criteria for Information Technology Security Evaluation” был разработан совместными усилиями специалистов Канады, США, Великобритании, Германии, Нидерландов и Франции в период с 1990 по 1999 год, развитие стандарта непрерывно продолжается. Исторически за стандартом закрепилось разговорное название "Common Criteria” – «Общие критерии». В России аутентичный перевод «Общих критериев» версии 2.0 принят в качестве ГОСТ в 2002 году и введён в действие с 1 января 2004 г. Точное название документа: ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
     Документ состоит из трёх частей:
1. Введение и общая модель.
2. Функциональные требования безопасности.
3. Требования доверия к безопасности.
В перспективе «Общие критерии» должны заменить РД Гостехкомиссии России во всех системах сертификации средств защиты информации. В настоящий момент оба поколения стандартов используются одновременно, причём «Общие критерии» применяются исключительно при проведении сертификации продуктов, не предназначенных для обработки информации, составляющей государственную тайну.

Основные идеи «Общих критериев»
     Основное свойство «Общих критериев» (ОК) - это максимально возможная универсальность: под объектом оценки (ОО) понимается произвольный продукт информационных технологий или система с руководствами администратора и пользователя. Продукт рассматривается как совокупность программных, программно-аппаратных или аппаратных средств информационных технологий, предоставляющая определённые функциональные возможности и предназначенная для непосредственного использования или включения в состав различных систем. В свою очередь, система – это специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.
     Предполагается, что общие критерии могут быть использованы следующими категориями пользователей:
1. Потребители.
ОК позволяют определить, вполне ли оцениваемый продукт или система удовлетворяют их потребностям в безопасности.
2. Разработчики
Конструкции ОК могут быть использованы для формирования утверждения о соответствии объекта оценки установленным требованиям.
3. Оценщики
Стандарт может быть использован при формировании заключения о соответствии ОО предъявляемым к ним требованиям безопасности.
     Объект оценки рассматривается в контексте среды безопасности, в которую включаются:
- законодательная среда – законы и нормативны акты, затрагивающие ОО;
- административная среда – положения политик безопасности, затрагивающих ОО и учитывающих его особенности;
- процедурная среда – меры физической защиты, персонал и его специфика;
- программно-техническая среда – назначение ОО, предполагаемые области его применения.
     При подготовке к оценке формализуются следующие аспекты среды ОО:
1. Предположения безопасности
Предположения выделяют ОО из общего контекста и задают границы его рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.
2. Угрозы безопасности
Выделяются угрозы, наличие которых в рассматриваемой среде установлено или предполагается. Угроза характеризуется следующими параметрами:
- источник угрозы;
- предполагаемый способ реализации угрозы;
- уязвимости, которые являются предпосылкой для реализации угрозы;
- активы, которые являются целью нападения;
- нарушаемые свойства безопасности активов;
- возможные последствия реализации угрозы.
3. Политики безопасности
Излагаются положения политики безопасности, применяемые в организации, которые имеют непосредственное отношение к ОО.
     На основании сформулированных предположений безопасности, при учёте угроз и политик формулируются цели безопасности для ОО, направленные на обеспечение противостояния угрозам и выполнение положений политики безопасности.
     Для достижения поставленных целей к ОО и его среде предъявляются требования безопасности. Вторая и третья части «Общих критериев» представляют собой каталоги требований безопасности следующих типов:
- Функциональные требования (Часть 2) – соответствуют активному аспекту защиты и предъявляются к функциям безопасности ОО и реализующим их механизмам.
- Требования доверия (Часть 3) – предъявляются к технологии и процессу разработки, эксплуатации и оценки ОО и призваны гарантировать адекватность реализации механизмов безопасности.
     При формулировании требований к ОО могут быть разработаны два документа:
1. Профиль защиты – не зависящая от конкретной реализации совокупность требований информационных технологий для некоторой категории ОО.
     Профиль защиты (ПЗ) не привязан к конкретному ОО и представляет собой обобщённый стандартный набор функциональных требований и требований доверия для определённого класса продуктов или систем. Например, может быть разработан профиль защиты на межсетевой экран корпоративного уровня или на биллинговую систему. Именно каталог утверждённых профилей защиты должен послужить заменой традиционных руководящих документов Гостехкомиссии России.
2. Задание по безопасности – документ, содержащий требования безопасности для конкретного ОО и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований. В задании по безопасности (ЗБ) может быть заявлено соответствие одному или нескольким профилям защиты.
     ЗБ можно рассматривать как техническое задание на подсистему обеспечения информационной безопасности для ОО. Задание по безопасности служит основой для проведения оценки ОО с целью демонстрации соответствия его требованиям безопасности.
     По сравнению с традиционными стандартами «Общие критерии» представляют собой принципиально более гибкий и универсальный инструмент. Однако стандарт не претендует на всеобъемлющую универсальность и, в частности, имеет следующие ограничения:
1. ОК не содержат критериев оценки, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий (управление персоналом, вопросы физической безопасности и т.д.). Соответствующие аспекты в рамках «Общих критериев» могут рассматриваться исключительно в виде предположений безопасности. Предполагается, что оценка соответствующих механизмов должна проводиться с использованием других стандартов.
2. Вопросы защиты информации от утечки по техническим каналам, такие как контроль ПЭМИН, непосредственно не затрагиваются, хотя многие концепции ОК потенциально применимы и в данной области.
3. В ОК не рассматриваются ни методология оценки, ни административно-правовая структура, в рамках которой критерии могут применяться органами оценки.
4. Процедуры использования результатов оценки при аттестации продуктов и систем находятся вне области действия ОК.
5. В ОК не входят критерии оценки специфических свойств криптографических алгоритмов. Независимая оценка математических свойств криптографических компонентов, встроенных в ОО, должна проводиться как самостоятельная независимая процедура.

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Комментарии:

Оставить комментарий
 

Цените свое время, получайте
достоверные ответы на вопросы