- •Предметный указатель
- •Лекция 1 (15.02.2013)
- •Требования к ас и свт
- •Классификация ас
- •Безопасность в Общих критериях
- •Понятие безопасности и их взаимосвязь
- •История создания ок и регламентирующие документы в России и Мире.
- •Цели Общих Критериев и их использование
- •Ключевые понятия Общих критериев
- •Структура проекта защиты и задания по безопасности
- •Лекция 2 (01.03.2013)
- •Краткое изложение концепции ок
- •Механизм использования требований по безопасности
- •Ключевые понятия функциональных требований безопасности (единый оо)
- •Структура требований ок
- •Функциональные классы безопасности
- •Классы требований доверия
- •Сертификационные испытания (оценка) на соответствие
- •Выдержки из гост р исо/мэк 15408-1 (проект)
- •Лекция 3 (15.03.2013)
- •Представление оо
- •Конфигурация оо
- •Активы и контрмеры
- •Достаточность контрмер
- •Корректность оо
- •Корректность среды функционирования
- •Оценка зб и оо
Функциональные классы безопасности
Аудит безопасности
Связь
Криптографическая поддержка
Защита данных пользователя
Идентификация и аутентификация
Управление безопасностью
Приватность
Защита функций безопасности ОО
Использование ресурсов
Доступ к ОО
Доверенный маршрут
Классы требований доверия
Используются Оценочными уровнями доверия (ОУД1 – ОУД7). Уровень доверия выше, если оценка происходила более тщательно, но данный вид оценки более дорогой. При ОУД1 оценка происходит поверхностно, достаточно быстро и дешево. При ОУД7 используется комплексный подход, детальная документация и математическое доказательство безопасности (идеализированный вариант, на практике встречается очень редко).
ОУД включают в себя следующие классы требований доверия:
Управление конфигурацией
Поставка и эксплуатация
Разработка
Руководящие документы
Поддержка жизненного цикла
Поддержка обеспечения уверенности
Тестирование
Оценка уязвимостей
(FCS_CKM) Управление криптографическими ключами
Это семейство предназначено для поддержки жизненного цикла ключей и определяет требования к следующим действиям:
генерация криптографических ключей
распределение криптографических ключей
доступ к криптографическим ключам
уничтожение криптографических ключей
(FCS_COP) Криптографические операции
Определяет требования к следующим действиям:
зашифрование и/или расшифрование данных
генерация и/или верификация цифровых подписей
генерация криптографических контрольных сумм и/или верификации контрольных сумм
хеширование (вычисление хеш-образа сообщения)
зашифрование и/или расшифрование криптографических ключей
согласование криптографических ключей
Выдержка из FCS_COP: (FCS_COP.1.1) ФБО должны выполнять [назначение: список криптографических операций] в соответствии с определенными криптографическими алгоритмами [назначение: криптографические алгоритмы] и длиной криптографических ключей [назначение: длины криптографических ключей], которые отвечают следующему: [назначение: список стандартов].
Сертификационные испытания (оценка) на соответствие
Бывают двух видов:
Требованиям Технических условий (ТУ) (может быть заменено на ЗБ и составлено на основе требований в ОК) и РД;
Требованиям Задания по безопасности.
С целью купирования конфликта между разработчиками и оценщиками на предмет наличия средств защиты или их отсутствия используют ясные, четкие, детализированные требования, изложенные в ОК.
Выдержки из гост р исо/мэк 15408-1 (проект)
Основные определения:
Активы – сущности, предположительно предоставляющие ценность для владельца ОО;
Доверие – основание для уверенности в том, что ОО отвечает конкретным ФТБ (функциональные требования безопасности);
Уполномоченный пользователь – Пользователь ОО, которому в соответствии с ФТБ разрешено выполнить некоторую операцию;
Класс – совокупность семейств из ИСО/МЭК 15408, объединенных общим назначением;
Лекция 3 (15.03.2013)
Лирика: Что мы изучаем в этом семестре? Методологический подход к оценке. С помощью CC + как средства разрабатывать + общее описание безопасности. CC состоит из 3 книг. (Подход к CC, кто им пользуется, для чего и как им нужно пользоваться, большой глоссарий терминов и определений, используемых в CC, задание требований средств защиты (в данном документе – объект оценки (программные, аппаратные, программно-аппаратные средства, содержащие в себе механизмы обеспечения безопасности информации, которые могут использоваться в АС при установке данного продукта)), 2 и 3 части являются, по сути, каталогами (функциональные компоненты безопасности и компоненты доверия. Компонент – минимальная совокупность элементов требований. Элементы из компонентов выдергивать нельзя.)). СС содержат 2 требования – требования доверия и к продукту.
ОК являются достаточно гибкими по отношению к объекту оценки (набор программных, аппаратных, программно-аппаратных средств, возможно сопровождаемых руководствами).
Хотя, бывают случаи, что ОО является продуктом ИТ, частью продукта ИТ, набором продуктов ИТ, уникальной технологией, которая может никогда не реализоваться в продукт.
Примеры ОО
Прикладная программа
Операционная система
ПП в сочетании с ОС
ПП в сочетании с ОС и рабочей станцией
ОС в сочетании с рабочей станцией
Интегральная схема смарт-карты
Локальная вычислительная сеть, включая все терминалы, серверы, сетевое оборудование и программные средства
Приложение базы данных за исключением программных средств