Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Критерии оценки информационной безопасности
Первые исследования в области обеспечения безопасности данных в ИС были вызваны потребностями военной сферы, где проблема безопасности стоит особенно остро. Начало было положено исследованиями вопросов защиты компьютерной инф-и, проведенными в конце 70-х — начале 80-х гг. XX в. Национальным центром компьютерной безопасности Министерства обороны США. Результатом этих исследований явилась публикация в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы их сертификации по критериям защиты информации. В 1999 г. ИСО приняла стандарт (ISO 15408) под названием «Общие критерии оценки безопасности информационных технологий» (сокращенно — Common Criteria), кот. способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содержит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.Стандарт ISO 15408 определяет инструменты оценки безопасности ИТ и порядок их исп., ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки. Профиль защиты— документ, содержащий обобщенный стандартный набор функциональных требований и требовании доверия для опред. класса продуктов или сис-м (например, профиль защиты может быть разработан на межсетевой экран корпоративного ур-я, сис-у элек. платежей), описания угроз безопасности и задач защиты, обоснования соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.Задание по безопасности— документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия.Под объектом оценкипонимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия, процессы обработки данных, подготовки решений и выработки управляющих воздействий; программные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные в БД; инф-ия, выдаваемая потребителям и на исполнительные механизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; помещения и др.)В данном стандарте представлены 2 категории требований безопасности: функциональные (определяют совок. ф-й объекта оценки, обеспечивающих его безопасность) и требования адекватности (св-о объекта оценки, дающее опред. степень уверенности в том, что механизмы его безопасности достаточно эффективны и правильно реализованы) механизмов безопасности. Безопасность в данном стандарте рассматривается не статично, а в привязке к ЖЦ объекта.
Классы безопасности информац. с-м В соответствии с «Оранжевой книгой» политика безопасности должна включать в себя следующие элементы: • произвольное управление доступом • безопасность повторного использования объектов; • метки безопасности, состоящие из уровня секретности и списка категорий; • принудительное управление доступом . Безопасной сис-а— это сис-а, кот. посредством специальных механизмов защиты контролирует доступ к инф-и т.о., что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление инф-и. В ней выделены основные классы защищенности — D, С, В, А.В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Класс С1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя до выполнения каких-либо контролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом работы; должна обеспечиваться корректность функционирования аппаратных и программных средств путем периодической проверки.Класс С2 (в дополнение к требованиям класса С1): все объекты подвергаются контролю доступа.Каждый пользователь сис-ы уникальным образом идентифицируется.Каждое регистрируемое действие ассоциируется с конкретным пользователем. В сис-ах этого класса имеются журналы регистрации где отображены пользователи и объекты к кот. было обращение пользователя.Класс В1 (в дополнение к требованиям класса С2): каждый хранимый объект ИС имеет отдельную идентификационную метку.В сис-х этого класса должна существовать неформальная или формальная модель политики безопасности.Класс В2 (в дополнение к требованиям класса В1): предусмотрена регистрация событий, связанных с организацией тайных каналов обмена информацией.Класс ВЗ (в дополнение к требованиям класса В2): исп. списки упр-я доступом с указанием разрешенных режимов; предусмотрена возможность регистрации появления событий, несущих угрозу политике безопасности; администратор должен извещаться о попытках нарушения политики безопасности.Класс А1 (в дополнение к требованиям класса ВЗ): имеет механизм упр-я информац. безопасности,кот. распространяется на весь ЖЦ и все компоненты сис-ы..
|
||
Последнее изменение этой страницы: 2018-04-12; просмотров: 351. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |