- •Объект оценки.
- •Структура требований доверия.
- •Классы, семейства, компоненты и элементы требований.
- •Назначение функциональных требований и требований доверия.
- •Развитие критериев оценки безопасности информационных технологий от tcsec к сс.
- •Основные концептуальные положения ок.
- •Назначение. Пользователи.
- •Зависимости между требованиями.
- •Структура и состав ок.
- •Часть 1 "Введение и общая модель" является введением в ок. В ней определяются общие принципы и концепции оценки безопасности ит и приводится общая модель оценки.
- •Состав и содержание профиля защиты.
- •Состав и содержание задания по безопасности.
- •Сходство и различие между профилем защиты и заданием по безопасности.
- •Функциональные требования.
- •Требования доверия.
- •Оценочные уровни доверия.
- •Структура функциональных требований.
- •Различия между «ок» и рд гостехкомиссии россии.
- •Классы функциональных требований.
- •Классы требований доверия.
- •Подходы к заданию требований безопасности информации требований в рд и ок.
Состав и содержание задания по безопасности.
Задание по безопасности:
Введение ЗБ
Идентификация ЗБ
Аннотация ЗБ
Соответствие ГОСТ Р ИСО\МЭК 15408
Описание ОО
Среда безопасности ОО
Предположения безопасности
Угрозы
Политика безопасности организации
Цели безопасности
Цели безопасности для ОО
Цели безопасности для среды
Требования безопасности ИТ Требования безопасности для ОО
Требования безопасности для среды ИТ
Функциональные требования безопасности ОО
Требования доверия к безопасности ОО
Краткая спецификация ОО
Функции безопасности ОО
Меры доверия
Утверждение о соответствии ПЗ
Ссылка на ПЗ
Конкретизация ПЗ
Дополнение ПЗ
Обоснование
Обоснование целей безопасности
Обоснование требований безопасности
Обоснование краткой спецификация ОО
Обоснование утверждений о соответствие ПЗ
Задание по Безопасности: совокупность требований безопасности и спецификаций, предназначенных для использования в качестве основы для оценки конкретного ОО
Задание по безопасности требуется либо при оценке продукта ИТ, либо при передаче продукта ИТ потребителю в качестве описания функциональных возможностей безопасности ОО и оцененной конфигурации.
Сходство и различие между профилем защиты и заданием по безопасности.
В ЗБ – Краткая спецификация ОО, в разделе обоснование – обоснование краткой спецификации ОО. Остальное все то же самое.
Функциональные требования.
Предъявляются к функциям ОО, предназначенным для поддержания безопасности ИТ, и определяют предусмотренный безопасный режим функционирования ОО. Направлены на то, чтобы продукт отвечал целям безопасности, формулируются для обеспечения функциональности продукта.
Функциональные требования безопасности сгруппированы в классы. В части 2 ОК определены следующие одиннадцать функциональных классов:
«Аудит»;
«Криптографическая поддержка»;
«Связь»;
«Защита данных пользователя»;
«Идентификация и аутентификация»;
«Управление безопасностью»;
«Приватность»;
«Защита функций безопасности объекта оценки (ФБО)»;
«Использование ресурсов»;
«Доступ к ОО»;
«Доверенный маршрут/канал».
Требования доверия.
Если мы как можно детальнее проверим продукт и убедимся, что он отвечает целям безопасности, то такому продукту можно доверять. Требования доверия в общем виде направлены на то, чтобы проверить, что продукт действительно отвечает целям безопасности. Предъявляются к действиям разработчика на различных этапах жизненного цикла ОО, к свидетельствам (подтверждениям выполнения разработчиком определенных процедур), представляемым для использования при оценке, и к действиям оценщика.
В части 3 ОК определены следующие восемь классов доверия к безопасности:
«Управление конфигурацией»;
«Поставка и эксплуатация»;
«Разработка»;
«Руководства»;
«Поддержка жизненного цикла»;
«Тестирование»;
«Оценка уязвимостей»;
«Поддержка доверия».
Формулирование требований доверия к безопасности ОО в ЗБ следует осуществлять в виде задания одного из ОУД