Европейские критерии безопасности информационных технологий

Для того, чтобы удовлетворить требованиям конфиденциально­сти, целостности и работоспособности, в «Европейских критериях» впервые вводится понятие адекватности средств защиты.

Уровни безопасности системы. Адекватность включает в себя:

эффективность, отражающую соответствие средств безопасно­сти решаемым задачам;

корректность, характеризующую процесс их разработки и функционирования.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Основные задачи

«Европейские критерии безопасности информационных технологий» рассматривают следующие задачи средств информационной безопасности:

— защита информации от несанкционированного доступа с целью обес­печения конфиденциальности

— обеспечение целостности информации посредством защиты от ее несанкционированной модификации или уничтожения

— обеспечение работоспособности систем с помощью противодействия угрозам отказа в обслуживании

Общая оценка уровня безопасности системы складывается из функцио­нальной мощности средств защиты и уровня адекватности их реализации.

Функциональные КРИТЕРИИ

В «Европейских критериях безопасности информационных технологий» средства, имеющие отношение к информационной безопасности, рассмат­риваются на трех уровнях детализации:

1. цели, которые преследует обеспечение безопасности;

2. спецификации функций защиты;

3. механизмы спецификаций функций защиты.
Требования спецификаций функций защиты:

— идентификация и аутентификация;

— управление доступом;

— подотчетность;

— аудит;

— повторное использование объектов;

— целостность информации;

— надежность обслуживания;

— безопасность обмена данными.

Требования безопасности обмена данными регламентируют работу средств, обеспечивающих безопасность данных, передаваемых по каналам связи, и включают следующие разделы:

— аутентификация

— управление доступом

— конфиденциальность данных

— целостность данных

— невозможность отказаться от совершенных действий

Классы БЕЗОПАСНОСТИ

В «Европейских критериях безопасности информационных технологий» классов безопасности десять, пять из которых (F - C 1, F - C 2, F - B 1, F - B 2, F - B 3) соответствуют критериям «Оранжевой книги» с аналогичными обозначениями.

Рассмотрим остальные классы безопасности:

— Класс F - IN. Предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных.

— Класс F - AV. Характеризуется повышенными требованиями к обеспечению рабо­тоспособности.

— Класс F - DI. Ориентирован на распределенные системы обработки информации.

— Класс F - DC. Уделяет особое внимание требованиям к конфиденциальности инфор­мации

— Класс F - DX. Предъявляет повышенные требования как к целостности, так и к конфиденциальности информации.

Три уровня безопасности:

— базовый- если средства защиты способны противостоять отдельным случай­ным атакам;

— средний- если средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями;

— высокий- если есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией, набор возмож­ностей и ресурсов которого выходит за рамки возможного.

Канадский критерий безопасности компьютерных систем

Назначения целей

Базовые концепции

Идентификаторы уровней

«Канадские критерии безопасности компьютерных систем» разрабаты­вались как основа для оценки эффективности средств обеспечения без­опасности компьютерных систем.

Цели:

— разработка единой шкалы критериев оценки безопасности компью­терных систем, позволяющей сравнивать системы обработки конфиденциальной информации по степени обеспечения безопасности

— создание основы для разработки спецификаций безопасных компью­терных систем, которая могла бы использоваться разработчиками при проектировании подобных систем в качестве руководства для определения состава функций средств защиты

— разработка унифицированного подхода и стандартных средств для описания характеристик безопасных компьютерных систем

Базовые КОНЦЕПЦИИ

Все компоненты системы, находящиеся под управлением ядра безопас­ности, называются объектами. Состояния объектов:

— объект-пользователь:

пользователь представляет собой физическое лицо, взаимодейству­ющее с компьютерной системой.

— объект-процесс:

процесс (или активный объект), представляющий пользователя в компьютерной системе, — это программа, выполнение которой ини­циировано пользователем.

— пассивный объект:

объект представляет собой пассивный элемент, над которым выпол­няют действия пользователи и процессы.

Все взаимодействия объектов контролируются в соответствии с реали­зованной в компьютерной системе политикой безопасности.

 

Структура профиля защиты, структура проекта защиты, требования безопасности (2 штуки), ранжирование требований адекватности.

1.8.ЕДИНЫЕ КРИТЕРИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХТЕХНОЛОГИЙ

1.8.1.ОСНОВНЫЕПОНЯТИЯ

Задачи защиты —выражает потребность потребителей продуктов информационных технологий в противостоянии заданному множеству угроз безопасности или в необходимости реализации политики безопасности.

Профиль защиты —специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований,

Требований адекватности и их обоснования. Служит руководством для разработчика продукта информационных технологий при создании проекта защиты.

ПРОФИЛЬЗАЩИТЫ

Профиль защиты определяет требования безопасности к определенной

Категории продуктов информационных технологий, не уточняя методы и

Средства их реализации. С помощью профиля защиты потребители формулируют свои требования к производителям.

Структура профиля защиты:

— введение

Содержит информацию, необходимую для поиска профиля защиты в

Библиотеке профилей;

— идентификатор профиля защиты

Уникальное имя, пригодное для поиска профиля защиты среди

Подобных ему профилей обозначения ссылок на него;

— обзор содержания

Содержит краткую аннотацию профиля защиты, на основании

Которой потребитель может сделать вывод о соответствии данного профиля его запросам;

— описание продукта информационных технологий

Содержит краткую характеристику продукта информационных технологий, его функциональное назначение, принципы работы, методы использования и т.д.;

— среда эксплуатации

Содержит описание среды функционирования продукта информационных технологий с точки зрения безопасности;

— условия эксплуатации

Содержит исчерпывающую характеристику продукта среды эксплуатации продукта информационных технологий с точки зрения безопасности, в том числе ограничения на условия его применения;

— угрозы безопасности

Описание угроз безопасности, действующих в среде эксплуатации, которым должна противостоять защита продукта информационных технологий(для каждой угрозы должен быть указан

Ее источник, метод и объект воздействия);

— политика безопасности

Определяет и объясняет правила политики безопасности, которая должна быть реализована в продукте информационных технологий;

— задачи защиты

Отражают потребности потребителей в противодействии указанным

Угрозам безопасности или реализации политики безопасности;

— задачи защиты продукта информационных технологий

Отражают потребности пользователей в противодействии угрозам безопасности или реализации политики безопасности;

— другие задачи защиты

Отражают необходимость участия средств защиты продукта информационных технологий в противодействии угрозам безопасности или реализации политики безопасности совместно с

Другими компонентами информационных технологий;

— требования безопасности

Содержит требования безопасности, которым должен удовлетворять

Продукт информационных технологий для решения задач защиты;

— функциональные требования

Содержит типовые требования, предусмотренные«Едиными

Критериями безопасности информационных технологий»(необходимо обеспечить такой уровень детализации требований, который позволяет продемонстрировать их соответствие задачам

защиты);

— требования адекватности

Содержит ссылки на типовые требования уровней адекватности«Единых критериев безопасности информационных технологий», но допускает и определение дополнительных требований адекватности;

— требования к среде эксплуатации

Может содержать функциональные требования и требования

адекватности, которым должны удовлетворять компоненты информационных технологий, составляющих среду эксплуатации

продуктов информационных технологий;

— дополнительные сведения

Содержит любую дополнительную информацию, которая может быть

Полезна для проектирования, разработки квалификационного анализа и сертификации продукта информационных технологий;

— обоснование

Должно демонстрировать, что профиль защиты содержит полное и

Связное множество требований, и что удовлетворяющий им продукт

Информационных технологий будет эффективно противостоять угрозам безопасности среды эксплуатации;

— обоснование задач защиты

Должно демонстрировать, что задачи защиты, предложенные в

профиле, соответствуют параметрам эксплуатации, и их решение позволит противостоять угрозам безопасности и реализовать политику безопасности;

— обосновании етребований безопасности

показывает, что требования безопасности позволяют эффективно решить задачи защиты.

ПРОЕКТ ЗАЩИТЫ

Проект защиты содержит требования и задачи защиты продукта информационных технологий, а также описывает уровень функциональных

Возможностей реализованных в нем средств защиты, их обоснование и

Подтверждение степени их адекватности.

Структура проекта защиты:

— введение

Содержит информацию, необходимую для идентификации проекта

защиты, определения назначения, а также обзор его содержания;

— идентификатор

Представляет собой уникальное имя проекта защиты, необходимое для поиска и идентификации проекта защиты и соответствующего ему продукта информационных технологий;

— обзор содержания

Представляет собой достаточно подробную аннотацию проекта защиты, позволяющую потенциальным потребителям определить пригодность продукта информационных технологий для

Решения их задач;

— заявка на соответствие«Единым критериям безопасности информационных технологий»

Содержит описание всех свойств продукта информационных

технологий, подлежащих квалификационному анализу на основе«Единых критериев безопасности информационных технологий»;

— описание продукта информационных технологий;

— среда эксплуатации:

— условия эксплуатации;

— угрозы безопасности;

— политика безопасности;

— задачи защиты:

— задачи защиты продукта информационных технологий;

— другие задачи защиты;

— требования безопасности

Содержат требования безопасности к продукту информационных технологий, которыми руководствовался производитель входе его разработки:

— функциональные требования

Допускает использование помимо типовых требований«Единых

Критериев безопасности информационных технологий»других,

Специфичных для данного продукта и среды его эксплуатации;

— требования адекватности

Могут включать уровни адекватности, непредусмотренные в

«Единых критериях безопасности информационных технологий»;

— требования к среде эксплуатации;

— общие спецификации продукта информационных технологий

Описывают механизмы осуществления задач защиты с помощью

Определения высокоуровневых спецификаций средств защиты в соответствии с предъявляемыми функциональными требованиями и требованиями адекватности:

— спецификации функций защиты

Описывают функциональные возможности средств защиты продукта информационных технологий, заявленные его производителем как реализующие требования безопасности;

— спецификации уровня адекватности

Определяют заявленный уровень адекватности защиты продукта информационных технологий и его соответствие требованиям

Адекватности в виде представления параметров технологии проектирования и создания продукта информационных технологий;

— заявка на соответствие профилю защиты

Содержит материалы, необходимые для подтверждения заявки:

— ссылка на профиль защиты

Однозначно идентифицирует профиль защиты, на реализацию

Которого претендует проект защиты, с указанием случаев, в которых обеспечиваемый уровень защиты превосходит требования профиля;

— соответствие профилю защиты

Определяет возможности продукта информационных технологий, которые реализуют задачи и требования, содержащиеся в профиле защиты;

— усовершенствование профиля защиты

Отражают возможности продукта информационных технологий,

Которые выходят за рамки задач защиты и требований, установленных в профиле защиты;

— обоснование

Должно показывать,что проект защиты содержит полное и связное

Множество требований, что реализующий его продукт информационных технологий будет эффективно противостоять угрозам безопасности, действующим в среде эксплуатации, и что общие спецификации

Функций защиты соответствуют требованиям безопасности:

— обоснование задач защиты

Должно демонстрировать, что задачи защиты, предложенные в проекте защиты, соответствуют свойствам среды эксплуатации,

И что их решение позволит эффективно противостоять угрозам безопасности и реализовать требуемую политику безопасности;

— обоснование требований безопасности

показывает, что выполнение этих требований позволяет решить задачи защиты;

— обоснование общих спецификаций продукта информационных технологий

Должно демонстрировать, что средства защиты и методы обеспечения их адекватности соответствуют предъявляемым требованиям;

— обоснование соответствия профилю защиты показывают, что требования проекта защиты поддерживают все требования профиля защиты.

ТРЕБОВАНИЯ 0БЕЗОПАСНОСТИ

Требования безопасности делятся на:

— функциональные требования

Регламентируют функционирование обеспечивающих безопасность

Компонентов продукта информационных технологий и определяют

Возможности средств защиты;

— требования адекватности

Представляет собой характеристику продукта информационных технологий, которая показывает, насколько эффективно обеспечивается заявленный уровень безопасности, а также степень корректности реализации средств защиты.

РАНЖИРОВАНИЕТРЕБОВАНИЙАДЕКВАТНОСТИ.

Ранжирование требований адекватности представлено в виде упорядоченных списков. Критерии

Адекватности используются входе квалификационного анализа продукта информационных технологий для определения степени корректности реализации функциональных требований и назначения продукту информационных технологий соответствующего уровня адекватности.

Уровни адекватности:

1. функциональное тестирование

2. структурное тестирование

3. методическое тестирование и проверка

4. методическая разработка, тестирование и анализ

5. полуформальные методы разработки и тестирование

6. полуформальные методы верификации разработки и тестирование

7. формальные методы верификации разработки и тестирование

 

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот новый стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 17799:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

·

Сделать большинство информационных активов наиболее понятными для менеджмента компании

· Выявлять основные угрозы безопасности для существующих бизнес-процессов

· Рассчитывать риски и принимать решения на основе бизнес-целей компании

· Обеспечить эффективное управление системой в критичных ситуациях

· Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

· Четко определить личную ответственность

· Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

· Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

· Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

· Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

· Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.

Внедрение и сертификация по ISO 27001 на базе внедренной системы менеджмента качества по ISO 9001 предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.

По стандарту ISO/IEC 27001:2005 проводится официальная сертификация системы управления информационной безопасностью. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании защита информации поставлена на высокий уровень и налажено эффективное управление информационной безопасностью.

По данным ИСО («The ISO Survey of Certifications – 2010») на конец 2010 г. в 117 странах мира осуществляли деятельность 15 625
компаний, сертифицировавшие свою систему управления информационной безопасностью на соответствие требованиям ISO/IEC 27001.

Шифр_скрыва е т_содержание_текста

Пълзыибзьфт ч йыиецчзштдъчыйчбийт

Жсвщьъущэлй о аьъчнощпйцсоьаоуъай

Шифрэскрюва е тэсодержаниеэтекста

Пълзюибзяфт ч йюиецчзштдъчюйчбийт

Жсвщяъущ_лй о аяъчнощпйцсояаоуъай

Шифр_скрыва е т_содержание_текста

А-21 6,32

Б-5 1,51

В-18 5,419

Г-4 1,2

Д-6 1,81

Е-27 8,128

Ё-0 0

Ж-1 0,301

З-3 0,903

И-16 4,82

Й-1 0,301

К-10 3,01

Л-3 0,904

М-2 0,602

Н-13 3,913

О-32 9,63

П-8 2,408

Р-15 4,52

С-22 6,622

Т-21 6,32

У-10 3,01

Ф-0 0

Х-6 1,81

Ц-3 0,904

Ш-3 0,904

Щ-0 0

Ъ-0 0

Ы-2 0,602

Ь-4 1,2

Э-0 0

Ю-3 0,904

Я-5 1,51

Пробел- 46 13,85

 

Ылчувфнуюегихфдсзиуйгрливхинфхг

Шифр я скрывает я содержание я текста

 

⇐ Предыдущая123456

Поделиться:

Воспользуйтесь поиском по сайту: