Презентация на тему Критерии безопасности информационных технологий

выделяют ОО из общего контекста и задают границы его

рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.

Выделяются угрозы, наличие которых в рассматриваемой среде установлено или предполагается. Угроза характеризуется следующими параметрами:
- источник угрозы;
- предполагаемый способ реализации угрозы;
- уязвимости, которые являются предпосылкой для реализации угрозы;
- активы, которые являются целью нападения;
- нарушаемые свойства безопасности активов;
- возможные последствия реализации угрозы.

Излагаются положения политики безопасности, применяемые в организации, которые имеют непосредственное отношение к ОО.

Цели безопасности для ОО

Требования безопасности

Функциональные требования

Требования доверия

защиты
Задание по безопасности
не зависящая от конкретной реализации совокупность

требований информационных технологий для некоторой категории ОО. Профиль защиты (ПЗ) непривязан к конкретному ОО и представляет собой обобщённый стандартный набор функциональных требований и требований доверия для определённого класса продуктов или систем.

документ, содержащий требования безопасности ля конкретного ОО и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований. В задании по безопасности (ЗБ) может быть заявлено соответствие одному или нескольким профилям защиты. ЗБ можно рассматривать как техническое задание на подсистему обеспечения информационной безопасности для ОО.

ограничения:

1. ОК не содержат критериев оценки, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий.
2. Вопросы защиты информации от утечки по техническим каналам, такие как контроль ПЭМИН, непосредственно не затрагиваются, хотя многие концепции ОК потенциально применимы и в данной области.
3. В ОК не рассматриваются ни методология оценки, ни административно- правовая
структура, в рамках которой критерии могут применяться органами оценки.
4. Процедуры использования результатов оценки при аттестации продуктов и систем находятся вне области действия ОК.
5. В ОК не входят критерии оценки специфических свойств криптографических алгоритмов.

и описательную информацию
должна дать общую характеристику ПЗ в описательной

форме

служит цели лучшего понимания его требований безопасности и даёт представление о типе продукта и основных характерных особенностях ИТ применительно к ОО

аспекты безопасности среды, в которой
ОО будет использоваться

все те угрозы активам, против которых требуется защита средствами ОО

все положения политики безопасности организации или правила, которым должен подчиняться объект оценки

о том, что ПЗ является полной и взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности.

ПЗ только в том случае, если он соответствует всем

частям этого ПЗ

необходимые для подтверждения факта соответствия
показывает, что функции безопасности и

меры доверия к ОО пригодны, чтобы отвечать требованиям безопасности ОО

объясняет любые различия между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается

«Общим критериям» материалов представляет документ «Руководящий документ. Безопасность информационных

технологий. Общая методология оценки безопасности информационных технологий», более известный как «Общая методология оценки» (ОМО).

Основные принципы ОМО:
− Объективность
− Беспристрастность
− Воспроизводимость
− Корректность
− Достаточность
− Приемлемость

Взаимосвязь между ОК и ОМО

исходных данных для оценки, задачи оформления результатов оценки и

подвидов деятельности по оценке

оценке (ТОО), имеющего следующую структуру:
1. Введение
− идентификаторы системы сертификации,

разработчика, заявителя, оценщика
− идентификаторы контроля конфигурации ТОО (название, дата, номер версии и т.д.);
− ссылка на ПЗ;
2. Описание архитектуры ОО
− высокоуровневое описание ОО и его главных компонентов.
3. Оценка
− методы, технологии, инструментальные средства и стандарты, применяемые при оценке;
− сведения об ограничениях, принятых при проведении оценки;
− правовые аспекты оценки, заявления о конфиденциальности и т.д.
4. Результаты оценки
Для каждого вида деятельности приводятся
5. Выводы и рекомендации
− общий вердикт;
− рекомендации, которые могут быть полезны для органа по сертификации.
6. Перечень свидетельств оценки
− составитель;
− название;
− уникальная ссылка.
7. Перечень сокращений и глоссарий терминов
8. Сообщения о проблемах
− полный перечень сообщений о проблемах;
− их текущее состояние.