Студопедия

КАТЕГОРИИ:

АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Критерии оценки информационной безопасности




Первые исследования в области обеспечения безопасно­сти данных в ИС были вызваны потребностями военной сфе­ры, где проблема безопасности стоит особенно остро. Начало было положено исследованиями вопросов защиты компью­терной инф-и, проведенными в конце 70-х — начале 80-х гг. XX в. Национальным центром компьютерной безо­пасности Министерства обороны США. Результатом этих ис­следований явилась публикация в 1983 г. документа под наз­ванием «Критерии оценки надежных компьютерных сис­тем», по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впослед­ствии основой организации системы их сертификации по критериям защиты информации.

В 1999 г. ИСО приняла стандарт (ISO 15408) под названи­ем «Общие критерии оценки безопасности информационных технологий» (сокращенно — Common Criteria), кот. спо­собствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содер­жит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информацион­ной безопасности.Стандарт ISO 15408 определяет инструменты оценки бе­зопасности ИТ и порядок их исп., ряд ключевых понятий, лежащих в основе концепции оценки защищенно­сти продуктов ИТ: профиля защиты, задания по безопасно­сти и объекта оценки. Профиль защиты— документ, содержащий обобщенный стандартный набор функциональных требований и требовании доверия для опред. класса продуктов или сис-м (например, профиль защиты может быть разработан на меж­сетевой экран корпоративного ур-я, сис-у элек. платежей), описания угроз безопасности и задач защиты, обоснования соответствия между угрозами безопасности, за­дачами защиты и требованиями безопасности.Задание по безопасности— документ, содержащий тре­бования безопасности для конкретного объекта оценки и спе­цифицирующий функции безопасности и меры доверия.Под объектом оценкипонимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия, процессы обработки данных, подготовки ре­шений и выработки управляющих воздействий; програм­мные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные в БД; инф-ия, выдаваемая потребителям и на исполнительные ме­ханизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; по­мещения и др.)В данном стандарте представлены 2 категории требова­ний безопасности: функциональные (определяют совок. ф-й объекта оценки, обеспечивающих его безопас­ность) и требования адекватности (св-о объекта оценки, дающее опред. степень уверенности в том, что меха­низмы его безопасности достаточно эффективны и правильно реализованы) механизмов безопасности. Безопасность в данном стандарте рассматривается не ста­тично, а в привязке к ЖЦ объекта.

 

 

Классы безопасности информац. с-м

В соответствии с «Оранжевой книгой» политика безопас­ности должна включать в себя следующие элементы:

• произвольное управление доступом

• безопасность повторного использования объектов;

• метки безопасности, состоящие из уровня секретности и списка категорий;

• принудительное управление доступом .

Безопасной сис­-а— это сис-а, кот. посредством специальных ме­ханизмов защиты контролирует доступ к инф-и т.о., что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут по­лучить доступ на чтение, запись, создание или удаление ин­ф-и. В ней выделены основные классы защищенно­сти — D, С, В, А.В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Класс С1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи долж­ны идентифицировать себя до выполнения каких-либо кон­тролируемых ИС действий; ИС должна быть защищена от внешних воздействий и от попыток слежения за ходом рабо­ты; должна обеспечиваться корректность функционирова­ния аппаратных и программных средств путем периодиче­ской проверки.Класс С2 (в дополнение к требованиям класса С1): все объ­екты подвергаются контролю доступа.Каждый поль­зователь сис-ы уникальным образом идентифици­руется.Каждое регистрируемое действие ассоции­руется с конкретным пользователем. В сис-ах этого класса имеются журналы регистрации где отображены пользователи и объекты к кот. было обращение пользователя.Класс В1 (в дополнение к требованиям класса С2): каж­дый хранимый объект ИС имеет отдельную иденти­фикационную метку.В сис-х этого класса должна существовать неформальная или формальная модель политики безопасности.Класс В2 (в дополнение к требованиям класса В1): предусмотрена регистрация событий, связанных с организацией тайных каналов обмена информа­цией.Класс ВЗ (в дополнение к требованиям класса В2): исп. списки упр-я доступом с указанием разрешенных режимов; предусмотрена возможность регистрации появления событий, несущих угрозу политике безопасности; ад­министратор должен извещаться о попытках нарушения политики безопасности.Класс А1 (в дополнение к требованиям класса ВЗ):  имеет механизм упр-я информац. безопасности,кот. распространяется на весь ЖЦ и все компоненты сис-ы..

 

 










Последнее изменение этой страницы: 2018-04-12; просмотров: 341.

stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда...