- •Лабораторная работа № 5
- •1.2. Основные положения
- •1.3. Профиль защиты
- •1.4. Функциональные требования к ит-продукту
- •1.5. Требования к технологии разработки ит-продукта
- •1.6. Требования к процессу квалификационного анализа ит-продукта
- •1.7. Выводы
- •2. Порядок выполнения работы
- •3. Практические задания
- •4. Контрольные вопросы
1.7. Выводы
"Федеральные критерии безопасности информационных технологий" первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция Профиля защиты — документа, содержащего описание всех требований безопасности как к самому ИТ-продукту, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.
Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования ТСВ. Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования как основу для подтверждения безопасности своего продукта.
Требования к процессу квалификационного анализа носят довольно общий характер и не содержат конкретных методик тестирования и исследования безопасности ИТ-продуктов.
Разработчики "Федеральных критериев" отказались от используемого в "Оранжевой книге" подхода к оценки уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. е. вместо единой шкалы используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.
Особо отметим, что этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.
Данный стандарт ознаменовал появление нового поколения руководящих документов в области информационной безопасности, а его основные положения послужили базой для разработки "Канадских критериев безопасности компьютерных систем" и "Единых критериев безопасности информационных технологий".
2. Порядок выполнения работы
1.Ознакомиться со стандартом информационной безопасности “Федеральные критерии безопасности информационных технологий”.
2.Выполнить практическое задание.
3.Ответить на контрольные вопросы.
3. Практические задания
1. Разработать интерфейс пользователя «Профиль защиты».
2. Разработать интерфейс пользователя «Функциональные требования к ИТ-продукту».
3. Разработать интерфейс пользователя «Требования к технологии разработки ИТ-продукта».
4. Контрольные вопросы
Какие цели преследовало создание "Федеральных критериев безопасности информационных технологий?
Что является основными объектами применения требований безопасности "Федеральных критериев"?
Назовите разделы Профиля защиты.
Назовите этапы разработки Профиля защиты.
Назовите разделы требований к технологии разработки ИТ-продуктов.