- •Актуальные проблемы стандартизации в сфере Информационных технологий в рф План
- •1. Стандарты информационной безопасности: Россия и мир
- •2. Российские особенности
- •3. Стандарты
- •4. Национальная система стандартизации.
- •5. Стандарты в области информационной безопасности рф
- •6. Руководящие документы (рд) Гостехкомиссии России
- •7. «Общие критерии». Криптографические стандарты. Управленческие стандарты
- •Криптографические стандарты
- •Управленческие стандарты
- •8. Международный стандарт исо/мэк 15408-99 «Критерии оценки безопасности информационных технологий» - «Общие критерии»
- •8.1. Истоки и стимулы принятия
- •8.2. Основные понятия «Общих критериев»
- •1. Потребители.
- •2. Разработчики.
- •3. Оценщики.
- •2. Угрозы безопасности
- •3. Политики безопасности
- •9. Выводы по применению в рф международного стандарта isо 15408
- •10 Обзор международных стандартов в области информационной безопасности, принятых в рф
- •Стандарты безопасности в Интернете
- •Ssl (tls)
8.2. Основные понятия «Общих критериев»
Если попытаться кратко сформулировать главную концепцию "Общих критериев", то, скорее всего, она будет выглядеть как "угрозы и профили". Окружающий нас мир не просто не идеален, он опасен. И эксплуатируемые в нем комплексные системы и ПО буквально со всех сторон окружают угрозы. В зависимости от того, в каких условиях эксплуатируется конкретный ИТ-объект (например, подключена ли данная система к сетям общего пользования или функционирует автономно), к нему можно предъявить столь же конкретный перечень требований к защите, т е. формализовать так называемый профиль
защиты. Такие требования могут быть сформулированы пользователем в техническом задании на разработку или сформированы самостоятельно создателем системы или средства. В процессе сертификации некой системы по ОК сертифицирующий орган рассматривает документ, который называется "задание по безопасности", - представляемый разработчиком системы в органы сертификации перечень требований к данной системе по безопасности. Сертификат подтверждает факт наличия в системе функционала, выполняющего заявленные требования по безопасности.
Основное свойство «Общих критериев» (ОК) — это максимально возможная универсальность.
Под объектом оценки (ОО) понимается произвольный продукт информационных технологий или система с руководствами администратора и пользователя.
Продукт рассматривается как совокупность программных, программно-аппаратных или аппаратных средств информационных технологий, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в состав различных систем.
В свою очередь, система — это специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.
Предполагается, что общие критерии могут быть использованы следующими категориями пользователей:
1. Потребители.
ОК позволяют определить, вполне ли оцениваемый продукт или система удовлетворяют их потребностям в безопасности.
2. Разработчики.
Конструкции ОК могут быть использованы для формирования
утверждения о соответствии объекта оценки установленным требованиям.
3. Оценщики.
Стандарт может быть использован при формировании заключения о соответствии ОО предъявляемым к ним требованиям безопасности.
Объект оценки рассматривается в контексте среды безопасности, в которую включаются:
законодательная среда - законы и нормативные акты, затрагивающие ОО;
административная среда — положения политик безопасности, затрагивающих ОО и учитывающих его особенности;
процедурная среда — меры физической защиты, персонал и его специфика;
программно-техническая среда — назначение ОО, предполагаемые области его применения.
При подготовке к оценке формализуются следующие аспекты среды ОО:
1. Предположения безопасностиПредположения выделяют ОО из общего контекста и задают границы его рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.