Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты. ⇐ ПредыдущаяСтр 4 из 4
"Общие критерии" содержат два основных вида требований безопасности: функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам; требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации. Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях). Профиль защиты – это специальный нормативный документ представляющий собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснование. Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования. Профиль защиты определяет требования безопасности к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью профилей защиты потребители формулируют свои требования к производителям.
14. Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности). Профиль защиты служит отправной точкой для производителя, ИТ-продукта, который должен на основании этого материала и предложенных им технических решений разработать проект защиты, который будет представлять ИТ-продукт в ходе квалификационного анализа.
Как видно из приведенных структуры и обзора содержания профиля защиты и проекта за Как видно из приведенных структуры и обзора содержания профиля защиты и проекта защиты, эти документы практически исчерпывающим образом регламентируют взаимодействие потребителей, производителей и экспертов по квалификации в процессе создания ИТ-продукта. Фактически, положения этих документов определяют технологию разработки защищенных систем. Самым важным элементом этой технологии являются требования безопасности. Поскольку «Единые критерии» обобщают все предшествующие достижения в этой области, рассмотрим их более подробно.щиты, эти документы практически исчерпывающим образом регламентируют взаимодействие потребителей, производителей и экспертов по квалификации в процессе создания ИТ-продукта. Фактически, положения этих документов определяют технологию разработки защищенных систем. Самым важным элементом этой технологии являются требования безопасности. Поскольку «Единые критерии» обобщают все предшествующие достижения в этой области, рассмотрим их более подробно.
"Общие критерии" включают следующие классы функциональных требований: 1. Идентификация и аутентификация. 2. Защита данных пользователя. 3. Защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов). 4. Управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности). 5. Аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности). 6. Доступ к объекту оценки. 7. Приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных). 8. Использование ресурсов (требования к доступности информации). 9. Криптографическая поддержка (управление ключами). 10. Связь (аутентификация сторон, участвующих в обмене данными). 11. Доверенный маршрут/канал (для связи с сервисами безопасности).
|
Последнее изменение этой страницы: 2019-04-10; Просмотров: 1139; Нарушение авторского права страницы