Оглавление
Предметный указатель 1
Лекция 1 (15.02.2013) 3
Требования к АС и СВТ 3
Классификация АС 3
Безопасность в Общих критериях 5
Понятие безопасности и их взаимосвязь 5
История создания ОК и регламентирующие документы в России и Мире. 6
Цели Общих Критериев и их использование 7
Ключевые понятия Общих критериев 8
Структура проекта защиты и задания по безопасности 10
Лекция 2 (01.03.2013) 12
Краткое изложение концепции ОК 14
Механизм использования требований по безопасности 14
Схема оценки продукта, разработанного в соответствии с ЗБ по ТБ 14
Ключевые понятия функциональных требований безопасности (единый ОО) 15
Структура требований ОК 16
Функциональные классы безопасности 18
Классы требований доверия 18
Сертификационные испытания (оценка) на соответствие 19
Выдержки из ГОСТ Р ИСО/МЭК 15408-1 (проект) 19
Лекция 3 (15.03.2013) 20
Представление ОО 20
Конфигурация ОО 20
Активы и контрмеры 21
Достаточность контрмер 21
Корректность ОО 22
Корректность среды функционирования 22
Оценка 22
Оценка ЗБ и ОО 22
Предметный указатель
Автоматизированная система
9
Активы
5
Задание по безопасности
9
14
Информационные технологии (ИТ)
8
Общие Критерии
6
Объект оценки (ОО)
8
Пакет
9
Политика безопасности ОО (ПБО)
8
Политика функции безопасности (security function policy)
8
Продукт
8
Профиль защиты (ПЗ)
9
14
Система
8
10
Функции безопасности объекта оценки (ФБО)
8
Функциональные возможности безопасности ОО
8
Лекция 1 (15.02.2013)
Рассматриваемые вопросы
Краткий обзор РД
Основные концепции Общих критериев оценки безопасности информационных систем
Структура и конструкции требований
Структура ПЗ и ЗБ
Общие критерии направлены на то, чтобы во всем Мире был единый подход к заданию требований.
Требования к ас и свт
Требования, предъявляемые к АС описаны в :
«АС. Защита от НСД к информации. Классификация АС и требования по защите информации»
«Требования по защите от НСД к информации в АС учета и контроля ядерных материалов»
Системы ФЗЯО. АСФЗ. Защита информации от НСД. Требования безопасности информации
Требования к ИСПдн
Требования, предъявляемые к СВТ описаны в:
«СВТ. Защита от НСД к информации. Показатели защищенности СВТ»
«СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации»
Требования к СОВ
Требования к Антивирусным средствам
Требования к средствам виртуализации
Классификация ас
3
группа. Один пользователь допущен ко
всей информации АС, все носители одного
уровня конфиденциальностиКласс 3А.
ОВ, 1 класс МЭ
СС, 1, 2 класс МЭ
С, 1, 2, 3 класс МЭ
ДСП, 1, 2, 3, 4 класс МЭ
Класс 3Б.
ДСП, 1, 2, 3, 4 класс МЭ
2
группа. Пользователи имеют одинаковые
права доступа ко всей информации АС,
носители различного уровня
конфиденциальностиКласс 2А.
ОВ, 1 класс МЭ
СС, 1, 2 класс МЭ
С, 1, 2, 3 класс МЭ
ДСП, 1, 2, 3, 4 класс МЭ
Класс 2Б.
ДСП, 1, 2, 3, 4 класс МЭ
1 группа. Пользователи имеют различные права доступа к информации АС, носители различного уровня конфиденциальности
Класс 1А
О
В,
1 класс МЭСС, 1, 2 класс МЭ
С, 1, 2, 3 класс МЭ
ДСП, 1, 2, 3, 4 класс МЭ
Класс 1Б
СС, 1, 2 класс МЭ
2 А,Б 1 А,Б,В,Г,Д
С, 1, 2, 3 класс МЭ
ДСП, 1, 2, 3, 4 класс МЭ
Класс 1В
С, 1, 2, 3 класс МЭ
ДСП, 1, 2, 3, 4 класс МЭ
Класс 1Г
ДСП, 1, 2, 3, 4 класс МЭ
АС на базе автономных ПЭВМ должны быть отнесены:
к 3 группе АС, если в ней работает только один пользователь (а при наличии администратора последний не участвует в обработке информации)
ко 2 или 1 группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа соответственно
Сетевое взаимодействие:
непосредственная связь с другими вычислительными сетями только одноименного класса
связь с системами другого класса только через МЭ (для гостайны без выхода в Интернет)
з
ащищенные
каналы связи (волоконно-оптические
линии связи, либо сертифицированные
криптографические средства защиты)
