Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Стандарты защищенности ОС.docx
Скачиваний:
4
Добавлен:
16.11.2019
Размер:
22.74 Кб
Скачать
►Содержание►

Стандарты защищенности ОС

Ключевое понятие концепции Федеральных критериев - профиль защиты - нормативный документ, который регламентирует все аспекты безопасности продукта информационных технологий в виде требований к его проектированию, технологии разработки и квалификационному анализу.

Основное внимание уделяется требованиям к составу средств защиты и качеству их реализации, а также адекватности предполагаемым угрозам безопасности. Профиль защиты состоит из следующих пяти разделов: описание, обоснование, функциональные требования, требования к технологии разработки, требования к процессу квалификационного анализа. Описание профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. Федеральные критерии предлагают поддерживать такую картотеку на общегосударственном уровне, что позволит любой организации воспользоваться созданными ранее профилями защиты непосредственно или использовать их в качестве прототипов для разработки новых. Обоснование содержит описание среды эксплуатации, предполагаемых угроз безопасности и методов использования продукта. Этот раздел ориентирован на службы безопасности организаций, которые принимают решение о возможности использования данного продукта. Раздел функциональных требований содержит описание возможностей средств защиты и определяет условия, в которых обеспечивается безопасность в виде перечня угроз, которым данные средства защиты успешно противостоят. Раздел требований к технологии разработки продукта охватывает все этапы его создания и содержит требования не только к процессу разработки, но и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию.

Раздел требований к процессу квалификационного анализа регламентирует порядок его проведения в виде методики исследований и тестирования продукта. Федеральные критерии не содержат единой шкалы классов безопасности. Разработчики могут выбирать набор требований для каждого конкретного продукта информационных технологий с учетом среды его эксплуатации.

Стандарты защищенности ос

Для оценки защищенности ОС существуют стандарты для компьютерных систем вообще.

  1. В 1992 году Государственная техническая комиссия при президенте РФ опубликовала документы, посвященные защите информационных систем «Средства вычислительной техники. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации».

  2. В данном документе рассматриваются требования к обеспечению защищенности программно-аппаратных компонентов компьютерных систем и средств вычислительной техники (аппаратных средств и совокупности программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем).

  3. Установлено семь классов защищенности средств вычислительной техники, седьмой самый низший.

  4. Документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация Автоматизированных систем и требования по защите информации».

  5. В данном документе все автоматизированные системы делятся на три группы, в каждой из которых вводится своя иерархия классов защиты.

  6. I группа – Многопользовательские системы, в которых пользователи имеют различные полномочия доступа к информации.

  7. II группа – Многопользовательские системы, в которых пользователи имеют одинаковые полномочия доступа к информации.

  8. III группа – однопользовательские системы, в которых два или более пользователя не могут работать одновременно, то есть пользователь может войти в систему не раньше, чем предыдущий пользователь завершит работу с ней.

  9. Самым известным документом – стандартом безопасности компьютерных систем является «Критерии безопасности компьютерных систем», выпущенный в 1983 году, носит название «Оранжевая книга». Он описывает семь классов защищенности компьютерных систем.

Классы безопасности компьютерных систем

Orange Book Критерии оценки достоверных компьютерных систем (Trusted Computer Systems Evaluation Criteria).

Это руководящие документы Гостехкомиссии.

Критерии оценки безопасности информационных технологий (ITSEC Information Technology Security Evaluation Criteria), действующие в странах Западной Европы.

Новый международный стандарт ISO/IEC 15408 Единые критерии оценки безопасности в области ИТ чаще всего называют просто Common Criteria ( Единые критерии ).

Класс d.

Минимальный уровень безопасности. В этот класс попадают системы, которые были заявлены на сертификацию, но ее не прошли.

Класс с1.

Избирательная защита доступа. Среда класса С1 предназначена для пользователей, обрабатывающих данные одного уровня секретности. Предусматривает наличие достоверной вычислительной базы (TCB), выполнение требований к избирательной безопасности. Обеспечивается отделение пользователей от данных (меры по предотвращению считывания или разрушения данных, возможность защиты приватных данных). В настоящее время по этому классу сертификация не предусмотрена.

Класс с1.

Защита, удовлетворяющая требованиям избирательной политики управления доступом, которая заключается в том, что для каждого объекта и субъекта в системе явно и недвусмысленно задается перечень допустимых типов доступа.

Политика обеспечения безопасности - дискреционная. Идентификация и аутентификация: ТСВ (Trusted Computing Base - совокупность аппаратных и программных механизмов защиты, которые отвечают за поддержку политики безопасности) должна требовать, чтобы пользователи идентифицировали себя перед началом каких-либо действий, в которых ТСВ предполагает быть посредником. ТСВ обязательно использует один из механизмов аутентификации (например, пароли) для проверки подлинности идентификации пользователей.

Архитектура системы. ТСВ должна содержать домен, который обеспечивает ее собственную работу и защиту от внешних воздействий.

Целостность системы обеспечивается периодическими проверками на правильность и корректность функционирования аппаратных и микропрограммных элементов ТСВ.

Тестирование функций безопасности. Механизм защиты должен соответствовать описанию, содержащемуся в документах: – руководство пользователя; – руководство администратора системы на средства защиты; – документация по тестам (разработчики системы должны предусмотреть документ, в котором дается описание плана и процедур тестирования); – документация по проекту - описание основополагающих принципов защиты и их реализации в системе.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности