- •Объект оценки.
- •Структура требований доверия.
- •Классы, семейства, компоненты и элементы требований.
- •Назначение функциональных требований и требований доверия.
- •Развитие критериев оценки безопасности информационных технологий от tcsec к сс.
- •Основные концептуальные положения ок.
- •Назначение. Пользователи.
- •Зависимости между требованиями.
- •Структура и состав ок.
- •Часть 1 "Введение и общая модель" является введением в ок. В ней определяются общие принципы и концепции оценки безопасности ит и приводится общая модель оценки.
- •Состав и содержание профиля защиты.
- •Состав и содержание задания по безопасности.
- •Сходство и различие между профилем защиты и заданием по безопасности.
- •Функциональные требования.
- •Требования доверия.
- •Оценочные уровни доверия.
- •Структура функциональных требований.
- •Различия между «ок» и рд гостехкомиссии россии.
- •Классы функциональных требований.
- •Классы требований доверия.
- •Подходы к заданию требований безопасности информации требований в рд и ок.
Состав и содержание профиля защиты.
Профиль Защиты:
Введение ПЗ
Идентификация ПЗ
Аннотация ПЗ
Описание ОО
Среда безопасности ОО
Предположения безопасности
Угрозы
Политика безопасности организации
Цели безопасности
Цели безопасности для ОО
Цели безопасности для среды
Требования безопасности ИТ Требования безопасности для ОО
Требования безопасности для среды ИТ
Функциональные требования безопасности ОО
Требования доверия к безопасности ОО
Обоснование
Обоснование целей безопасности
Обоснование требований безопасности
Профиль Защиты: независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя.
Введение ПЗ: должно содержать информацию управления документооборотом и обзорную информацию, необходимые для работы с реестром ПЗ:
идентификация ПЗ должна обеспечить маркировку и описательную информацию, необходимые, чтобы идентифицировать, каталогизировать, регистрировать ПЗ и ссылаться на него;
аннотация ПЗ должна дать общую характеристику ПЗ в описательной форме. Она должна быть достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет ли ПЗ для него интерес. Аннотация должна быть также применима для размещения в виде самостоятельного реферата в каталогах и реестрах ПЗ.
Описание ОО: Эта часть ПЗ должна содержать описание ОО, служащее цели лучшего понимания его требований безопасности и дающее представление о типе продукта и основных характерных особенностях ИТ применительно к ОО.
Среда безопасности: описание угроз, политики безопасности, предположений, описание предположений, содержащее аспекты безопасности среды, в которой ОО будет использоваться или предполагается к использованию. Оно должно также содержать:
информацию относительно предполагаемого использования ОО, включая такие аспекты, как предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования;
информацию относительно среды применения ОО, включая аспекты физического окружения, персонала и внешних связей.
Цели безопасности: изложение целей безопасности должно определять цели безопасности как для ОО, так и для его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности. Цели безопасности должны отражать изложенное намерение противостоять всем установленным угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и установленную политику безопасности организации.
Требования безопасности: должны быть определены функциональные требования и требования доверия, которым должны удовлетворять ОО и свидетельства поддержки его оценки для достижения целей безопасности ОО
Обоснование: является полной и взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности