Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Критерии безопасности информационных технологий

аспекты среды объекта оценки (ОО)Предположения безопасностиУгрозы безопасностиПолитики безопасностиПредположения выделяют ОО из общего контекста и задают границы его рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.Выделяются угрозы, наличие которых
В России «Общие критерии» приняты в качестве ГОСТ в 2002 году и аспекты среды объекта оценки (ОО)Предположения безопасностиУгрозы безопасностиПолитики безопасностиПредположения выделяют ОО из общего При формулировании требований к ОО разрабатываются два документаПрофиль защитыЗадание по безопасности не 3.3. Структура и содержание профиля защитыдолжна обеспечить маркировку и описательную информациюдолжна дать 3.4. Структура и содержание задания по безопасностиОО соответствует ПЗ только в том должна определить отображение требований безопасности для ООвключаются материалы, необходимые для подтверждения факта 3.5. Общие критерии. Сопутствующие документыНаибольший интерес среди сопутствующих «Общим критериям» материалов представляет Процесс оценки состоит из выполнения оценщиком задачи получения исходных данных для оценки, Результаты оценки оформляются в виде технического отчёта об оценке (ТОО), имеющего следующую Документ «Безопасность информационных технологий. Типовая методика оценки профилей защиты и заданий по
Слайды презентации

Слайд 2 аспекты среды объекта оценки (ОО)
Предположения безопасности
Угрозы безопасности
Политики безопасности
Предположения

аспекты среды объекта оценки (ОО)Предположения безопасностиУгрозы безопасностиПолитики безопасностиПредположения выделяют ОО из

выделяют ОО из общего контекста и задают границы его

рассмотрения. Предполагается, что среда ОО удовлетворяет данным предположениям. При проведении оценки предположения безопасности принимаются без доказательств.

Выделяются угрозы, наличие которых в рассматриваемой среде установлено или предполагается. Угроза характеризуется следующими параметрами:
- источник угрозы;
- предполагаемый способ реализации угрозы;
- уязвимости, которые являются предпосылкой для реализации угрозы;
- активы, которые являются целью нападения;
- нарушаемые свойства безопасности активов;
- возможные последствия реализации угрозы.

Излагаются положения политики безопасности, применяемые в организации, которые имеют непосредственное отношение к ОО.

Цели безопасности для ОО

Требования безопасности

Функциональные требования

Требования доверия


Слайд 3 При формулировании требований к ОО разрабатываются два документа
Профиль

При формулировании требований к ОО разрабатываются два документаПрофиль защитыЗадание по безопасности

защиты
Задание по безопасности
не зависящая от конкретной реализации совокупность

требований информационных технологий для некоторой категории ОО. Профиль защиты (ПЗ) непривязан к конкретному ОО и представляет собой обобщённый стандартный набор функциональных требований и требований доверия для определённого класса продуктов или систем.

документ, содержащий требования безопасности ля конкретного ОО и специфицирующий функции безопасности и меры доверия, предлагаемые объектом оценки для выполнения установленных требований. В задании по безопасности (ЗБ) может быть заявлено соответствие одному или нескольким профилям защиты. ЗБ можно рассматривать как техническое задание на подсистему обеспечения информационной безопасности для ОО.

ограничения:

1. ОК не содержат критериев оценки, касающихся администрирования механизмов безопасности, непосредственно не относящихся к мерам безопасности информационных технологий.
2. Вопросы защиты информации от утечки по техническим каналам, такие как контроль ПЭМИН, непосредственно не затрагиваются, хотя многие концепции ОК потенциально применимы и в данной области.
3. В ОК не рассматриваются ни методология оценки, ни административно- правовая
структура, в рамках которой критерии могут применяться органами оценки.
4. Процедуры использования результатов оценки при аттестации продуктов и систем находятся вне области действия ОК.
5. В ОК не входят критерии оценки специфических свойств криптографических алгоритмов.


Слайд 4 3.3. Структура и содержание профиля защиты
должна обеспечить маркировку

3.3. Структура и содержание профиля защитыдолжна обеспечить маркировку и описательную информациюдолжна

и описательную информацию
должна дать общую характеристику ПЗ в описательной

форме

служит цели лучшего понимания его требований безопасности и даёт представление о типе продукта и основных характерных особенностях ИТ применительно к ОО

аспекты безопасности среды, в которой
ОО будет использоваться

все те угрозы активам, против которых требуется защита средствами ОО

все положения политики безопасности организации или правила, которым должен подчиняться объект оценки

о том, что ПЗ является полной и взаимосвязанной совокупностью требований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в определенной среде безопасности.


Слайд 5 3.4. Структура и содержание задания по безопасности
ОО соответствует

3.4. Структура и содержание задания по безопасностиОО соответствует ПЗ только в

ПЗ только в том случае, если он соответствует всем

частям этого ПЗ

Слайд 6 должна определить отображение требований безопасности для ОО
включаются материалы,

должна определить отображение требований безопасности для ООвключаются материалы, необходимые для подтверждения

необходимые для подтверждения факта соответствия
показывает, что функции безопасности и

меры доверия к ОО пригодны, чтобы отвечать требованиям безопасности ОО

объясняет любые различия между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается


Слайд 7 3.5. Общие критерии. Сопутствующие документы
Наибольший интерес среди сопутствующих

3.5. Общие критерии. Сопутствующие документыНаибольший интерес среди сопутствующих «Общим критериям» материалов

«Общим критериям» материалов представляет документ «Руководящий документ. Безопасность информационных

технологий. Общая методология оценки безопасности информационных технологий», более известный как «Общая методология оценки» (ОМО).

Основные принципы ОМО:
− Объективность
− Беспристрастность
− Воспроизводимость
− Корректность
− Достаточность
− Приемлемость

Взаимосвязь между ОК и ОМО


Слайд 8 Процесс оценки состоит из выполнения оценщиком задачи получения

Процесс оценки состоит из выполнения оценщиком задачи получения исходных данных для

исходных данных для оценки, задачи оформления результатов оценки и

подвидов деятельности по оценке

Слайд 9 Результаты оценки оформляются в виде технического отчёта об

Результаты оценки оформляются в виде технического отчёта об оценке (ТОО), имеющего

оценке (ТОО), имеющего следующую структуру:
1. Введение
− идентификаторы системы сертификации,

разработчика, заявителя, оценщика
− идентификаторы контроля конфигурации ТОО (название, дата, номер версии и т.д.);
− ссылка на ПЗ;
2. Описание архитектуры ОО
− высокоуровневое описание ОО и его главных компонентов.
3. Оценка
− методы, технологии, инструментальные средства и стандарты, применяемые при оценке;
− сведения об ограничениях, принятых при проведении оценки;
− правовые аспекты оценки, заявления о конфиденциальности и т.д.
4. Результаты оценки
Для каждого вида деятельности приводятся
5. Выводы и рекомендации
− общий вердикт;
− рекомендации, которые могут быть полезны для органа по сертификации.
6. Перечень свидетельств оценки
− составитель;
− название;
− уникальная ссылка.
7. Перечень сокращений и глоссарий терминов
8. Сообщения о проблемах
− полный перечень сообщений о проблемах;
− их текущее состояние.

  • Имя файла: kriterii-bezopasnosti-informatsionnyh-tehnologiy.pptx
  • Количество просмотров: 121
  • Количество скачиваний: 0