- •III. Учебные материалы (учебники, учебные пособия или конспекты лекций) Структура информационных ресурсов. Основные законодательные акты.
- •2.1 Структура информационных ресурсов. Правовые нормы
- •2.1.1 Основные законодательные акты
- •2.1.2 Указы президента рф
- •2.1.3 Постановления правительства
- •2.1.4 Межведомственные документы Гостехкомиссии России.
- •2.2 Основные моменты законодательства рф в сфере информационных технологий.
- •2.3 Iso/iec tr 13335 Информационные технологии. Руководство по управлению безопасностью ит. (Information technology -- Guidelines for the management of it Security)
- •2.3.1 Iso/iec tr 13335-1:1996 Концепция и модели обеспечения безопасности информационных технологий.
- •2.3.2 Iso/iec tr 13335-2:1997. Планирование и управление безопасностью информационных технологий.
- •2.3.3 Iso/iec tr 13335-3:1998. Техника управления безопасностью ит.
- •2.3.4 Iso/iec tr 13335-4:2000. Выбор средств обеспечения безопасности.
- •2.3.5 Iso/iec tr 13335-5:2001. Безопасность внешних связей.
- •2.4 Iso/iec 15408: 1999. Информационная технология - Методы и средства защиты информации - Критерии оценки безопасности ит. Security techniques -- Evaluation criteria for it security
- •2.4.1 Часть 1. Представление и общая модель
- •2.4.1.1 Концепция общих критериев
- •2.4.1.2 Целевая направленность ок
- •2.4.2 Часть 2. Функциональные требования безопасности. Функциональные требования ок
- •2.4.3 Часть 3. Требования гарантии безопасности
- •2.4.3.1 Требования гарантии ок
- •2.5 Iso/iec 17799:2000 Информационные технологии – Код практики для управления информационной безопасностью. Information technology -- Code of practice for information security management
- •2.6 Таксономия требований и критериев “Оранжевой книги”
- •2.6.1 Политика безопасности
- •2.6.2 Аудит
- •2.6.3 Корректность
- •2.6.4 Таксономия критериев безопасности
- •2.6.5 Классы безопасности компьютерных систем
- •2.7 Руководящие документы Гостехкомиссии России.
- •2.7.1 Основные положения.
- •2.7.2 Таксономия критериев и требований безопасности.
- •2.7.2.1 Показатели защищенности свт от нсд.
- •2.7.2.2 Требования к защищенности автоматизированных систем.
- •2.7.2.3 Классы защищенности автоматизированных систем.
- •Компоненты системы безопасности.
2.4.1.2 Целевая направленность ок
Оценка безопасности ИТ - это методология исследования свойств безопасности изделия или системы информационной технологии, называемых в ОК объектами оценки.
При этом могут быть идентифицированы три группы пользователей с общим интересом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей.
Потребители могут использовать оценку, чтобы решить, выполняет ли оцененное изделие или система требования по безопасности. ОК играют важную роль при задании потребителем функциональных требований к безопасности ИТ. ОК содержат также требования гарантии оценки, поскольку это - одна из главных целей. Потребители могут использовать оценку, чтобы сравнивать различные изделия или системы. ОК дают потребителям, особенно группам потребителей с общим интересом, возможность использования предопределенной структуры требований, названной Профилем Защиты, чтобы выразить их специальные требования к объекту оценки для обеспечения безопасности ИТ.
ОК помогают Разработчикам при подготовке к оценке и оценке их изделий или систем. Разработчики могут идентифицировать те требования, которые будут удовлетворены их изделием или системой, стремясь к тому, чтобы объект оценки соответствовал функциональным требованиям безопасности и требованиям гарантии оценки. Эти требования содержатся в зависимо-выполняемой структуре, названной Заданием по Безопасности. Разработчики могут использовать ОК, чтобы определить свои обязанности и действия при оценке объекта. ОК описывают действия, которые разработчик должен выполнить, и определяют содержание результатов оценки.
ОК содержат критерии, которые нужно использовать Оценщикам при формировании заключений относительно соответствия объектов оценки требованиям безопасности. ОК описывают набор общих действий, которые оценщик должен выполнить, но не определяют процедуры, которые нужно использовать при выполнении этих действий. Документ с методиками оценки должен дополнить ОК в этой области.
ОК могут быть полезны в качестве рекомендаций и для других групп пользователей, интересующихся или отвечающих за безопасность ИТ, например: служащим охраны, отвечающим за организационные вопросы безопасности ИТ; внутренним и внешним ревизорам, отвечающим за адекватность оценки мер безопасности системы; идеологам безопасности и проектировщикам, отвечающим за спецификацию мер безопасности системы или изделия ИТ; ответственным за принятие ИТ в эксплуатацию в специфических условиях окружения; Заказчикам, ответственным за управление и корректность программы оценки безопасности ИТ.
2.4.2 Часть 2. Функциональные требования безопасности. Функциональные требования ок
Функциональные требования к системе защиты информации ПОБ выбираются из рассматриваемых в ОК одиннадцати функциональных классов, поименованных аббревиатурами на английском языке.
Аудит безопасности (FAU: Security audit). Аудит системы безопасности - это распознавание, регистрация, хранение и анализ информации, относящейся к системе безопасности.
Связь (FCO: Communication). Выполнение требований этого класса гарантирует, что передающий информацию не сможет отказаться от посланного сообщения, а принимающий - от его получения.
Криптографическая поддержка (FCS: Cryptographic support). Класс содержит семейства требований по управлению криптографическими ключами и операциями.
Защита данных пользователя (FDP: User data protection). Класс определяет требования безопасности, относящиеся к защите данных пользователя при вводе, выводе и хранении информации.
Идентификация и аутентификация (FIA: Identification and authentication). Требования этого класса имеют дело с определением и верификацией пользователей, их полномочий в системе, а также с правильной привязкой атрибутов безопасности к каждому пользователю.
Управление безопасностью (FMT: Security management). Класс содержит требования по управлению атрибутами и данными функций безопасности, а также ролями безопасности.
Секретность (FPR: Privacy). Реализация требований данного класса обеспечит защиту пользователя от раскрытия и злоупотреблений его полномочиями другими пользователями.
Защита функций безопасности ПОБ (FPT: Protection of the TSF). Класс содержит функциональные требования, относящиеся к целостности и управлению механизмами безопасности системы (независимо от специфики реализуемой политики безопасности).
Использование ресурсов (FRU: Resource utilisation). Требования этого класса обеспечивают доступность необходимых ресурсов (таких, как возможность обработки и/или хранения), а также защиту в случае блокировки функциональных возможностей, вызванных отказами системы.
Доступ к ПОБ (FTA: TOE access). Класс определяет функциональные требования контроля за установленным сеансом работы пользователя независимо от требований по идентификации и аутентификации.
Надежный маршрут/канал (FTP: Trusted path/channels). Класс обеспечивает требования:
Надежного коммуникационного маршрута между пользователями и функциями безопасности системы;
Надежного канала связи между функциями безопасности системы.