- •Предметный указатель
- •Лекция 1 (15.02.2013)
- •Требования к ас и свт
- •Классификация ас
- •Безопасность в Общих критериях
- •Понятие безопасности и их взаимосвязь
- •История создания ок и регламентирующие документы в России и Мире.
- •Цели Общих Критериев и их использование
- •Ключевые понятия Общих критериев
- •Структура проекта защиты и задания по безопасности
- •Лекция 2 (01.03.2013)
- •Краткое изложение концепции ок
- •Механизм использования требований по безопасности
- •Ключевые понятия функциональных требований безопасности (единый оо)
- •Структура требований ок
- •Функциональные классы безопасности
- •Классы требований доверия
- •Сертификационные испытания (оценка) на соответствие
- •Выдержки из гост р исо/мэк 15408-1 (проект)
- •Лекция 3 (15.03.2013)
- •Представление оо
- •Конфигурация оо
- •Активы и контрмеры
- •Достаточность контрмер
- •Корректность оо
- •Корректность среды функционирования
- •Оценка зб и оо
Цели Общих Критериев и их использование
Взаимное признание критериев
Гармонизация существующих критериев безопасности
Гибкость при выражении требований безопасности
Система для дальнейшего развития критериев
Основной целью создания ОК являлась необходимость оценки по критерием всего один раз
Кто использует ОК:
Потребители
Устанавливают требования безопасности ИТ
Для своих систем
С учетом существующих требований
Стремятся к независимому подтверждению
Заявленных требований
Функций безопасности продуктов и систем
Разработчики
Учитывают требования
Обращаются к оценщикам для проверки соответствия требованиям
Предлагают продукты с целью стимулирования спроса
Оценщики
Обеспечивают независимую оценку
Нуждаются в ясном заявлении требований (однозначное толкование) – ключевое понятие, используемое при разработке ОК.
Нуждаются в поставках (необходимой документации) хорошего качества для оценки
Стремятся достичь объективности
Отвечают перед «органом по надзору» за соответствие стандартам и качество оценки
Ключевые понятия Общих критериев
Информационные технологии (ИТ) – обобщенный термин, относящийся к любой части или комбинации аппаратного обеспечения, программного обеспечения и/или аппаратно-программного обеспечения, имеющей определенное функционального назначения.
Объект оценки (ОО) – продукт или система ИТ (или их часть) и ассоциируемая с ними документация для администратора и пользователя.
Продукт – Пакет аппаратного, программного, аппаратно-программного обеспечений ИТ, который обеспечивает функциональное назначение, предназначенное для использования или включения в разнообразные системы.
Не любой продукт является ОО. Только если есть требования.
Система – Специфическая установка ИТ с конкретным назначением и эксплуатационной средой. Понятие устарело. В РД не используется.
Система может быть продуктом. Продукт может быть системой, если часть продукта может быть использована как самостоятельная часть. Поэтому от понятия системы отошли
Функция безопасности – функциональные возможности части или частей ОО обеспечивающие выполнение подмножества взаимосвязанных правил Политики Безопасности Объекта (ПБО). Понятие устарело. В РД не используется.
Функции безопасности объекта оценки (ФБО) – совокупность (как система с взаимодействиями объектов между собой, комплексный подход) всех функций безопасности ОО, направленных на осуществление ПБО
Функциональные возможности безопасности ОО (ТOE Security functionality) – совокупность функциональных возможностей всего аппаратного, программного, аппаратно-программного обеспечения ОО, которые необходимо использовать для конкретной реализации Функциональных требований безопасности (ФБО).
Политика безопасности организации (ПБО) – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.
Политика безопасности ОО (ПБО) – совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО.
Политика функций безопасности (ПФБ) – политика безопасности, осуществляемая ФБ.
Политика функции безопасности (security function policy): - совокупность правил, описывающих конкретный режим безопасности, реализуемый ФБО, и выраженных в виде совокупности ФТБ.
Профиль защиты (ПЗ) – определяет независимую от конкретной реализации совокупность требований ИТ для некоторой категории ОО.
Профиль защиты содержит требования, которые с точки зрения потребителя считаются достаточными для использования его в АС. В профиле излагается потребность потребителя в безопасности. Никаких требований к методам и способам достижения требуемого уровня защищенности, потребитель к разработчику предъявить не может. Профиль бывает на ОС или вид, на МЭ или определенный вид.
Задание по безопасности (ЗБ) – набор требований и спецификаций для использования в качестве основы для оценки конкретного ОО. Устаревшее.
Задание по безопасности (security target – «цель безопасности») – зависимое от реализации изложение потребностей в безопасности для конкретного идентифицированного ОО.
Задание по безопасности и Техническое задание – разные понятия. ТЗ составляется до начала разработки и содержит только требования. ЗБ содержит требования, которые реализованы в продукте и краткие сведения о том, как они реализованы. ЗБ передается с продуктом на оценку и служит основой для оценки.
Пакет – предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для удовлетворения совокупности определенных целей безопасности. Устаревшее.
Пакет – Именованная совокупность функциональных требований безопасности или требований доверия безопасности.
Пакет содержит некоторую часть требований, объединенных по какому либо признаку. Функциональный пакет требований может быть использован при разработке требований и продуктов. Облегчает разработку ПЗ и ЗБ.
ОК содержит структурированный набор требований из которого можно формировать подмножество для определенных видов продуктов ИТ т.е. СВТ (программных, аппаратных, программно-аппаратных) и их совокупности соответственно. Продукты ИТ с соответствующей эксплуатационной документацией в ОК рассматриваются как ОО. ОО может быть частью СВТ.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая ИТ выполнения установленных функций (ГОСТ 34.003-90 )
Система - специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации ОК (Общие критерии).