8. Федеральные критерии безопасности информационных технологий
advertisement
8. Федеральные критерии безопасности информационных технологий 8.1. Цель разработки "Федеральные критерии безопасности информационных технологий" разрабатывались как часть "Американского федерального стандарта по обработке информации“, призванного заменить "Оранжевую книгу". ge Oran k Boo «Федеральные критерии» - основа для разработки и сертификации компонентов информационных технологий с точки зрения безопасности. Цели создания «Федеральных критериев»: • Определение универсального набора требований безопасности, предъявляемых к современным информационным технологиям. • Совершенствование существующих требований и критериев безопасности. • Нормативное закрепление принципов информационной безопасности. 8.2. Основные положения "Федеральные критерии" включают все аспекты обеспечения: • конфиденциальности, • целостности, • работоспособности. Объекты применения требований безопасности "Федеральных критериев": • продукты информационных технологий (IT-продукты); • системы обработки информации. Продукты информационных технологий – это совокупность: • аппаратных, • программных средств, Поставляемое конечному потребителю средство обработки информации. IT-продукт интегрируется в систему обработки информации. IT Система обработки информации – совокупность IT-продуктов, объединенных в комплекс. Разрабатывается для решения прикладных задач. Иногда система обработки информации может состоять только из одного IT - продукта. IT IT IT IT Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности IT -продуктов. IT Профиль защиты: Профиль защиты IT IT IT нормативный документ, регламентирующий все аспекты безопасности IT-продукта в виде требований к его: • проектированию, • технологии разработки, • квалификационному анализу. Один Профиль защиты описывает несколько близких по структуре и назначению IT-продуктов. Этапы разработки систем обработки информации: Профиль защиты • Разработка и анализ Профиля защиты; • разработка и квалификационный анализ IT-продуктов; • компоновка и сертификация системы обработки информации в целом. IT IT IT IT IT Разработка и анализ профиля защиты Профиль защиты: • содержит требования безопасности • содержит требования по соблюдению технологической дисциплины в процессе: разработки, тестирования, квалификационного анализа IT-продукта. • анализируется на: полноту, непротиворечивость, техническую корректность. Профиль защиты Разработка и квалификационный анализ IT-продуктов IT IT-продукты подвергаются анализу для определения соответствия характеристик продукта требованиям, сформулированным в Профиле защиты. Компоновка и сертификация системы обработки информации в целом Успешно прошедшие квалификацию уровня безопасности IT-продукты интегрируются систему обработки информации. I пр Tод ук ты в I пр Tод ук т ы I пр Tод ук ты 8.3. Профиль защиты 8.3.1 Назначение и структура Профиля защиты Профиль защиты предназначен для: • определения и обоснования состава и содержания средств защиты; • спецификации технологии разработки; • регламентации процесса квалификационного анализа IT-продукта. Профиль защиты Состав Профиля защиты: Профиль защиты • описание; • обоснование; • функциональные требования к IT-продукту; • Требования к технологии разработки IT-продукта; • требования к процессу квалификационного анализа IT-продукта. Описание профиля содержит информацию, необходимую для его идентификации в специальной картотеке. Должна быть охарактеризована основная группа проблем обеспечения безопасности, решаемых с помощью данного Профиля. Профиль защиты Обоснование содержит: Профиль защиты описание • среды эксплуатации; • предполагаемых угроз безопасности; • методов использования IT-продукта. Обоснование помогает определить, пригоден ли данный Профиль защиты для применения в данной ситуации. Функциональные требования к IT-продукту это описание возможностей средств защиты IT-продукта и определение условий, в которых обеспечивается безопасность – перечень угроз, которым успешно противостоят предложенные средства защиты. Профиль защиты Раздел требований к технологии разработки IT-продукта содержит требования: Профиль защиты • к самому процессу разработки; • к условиям, в которых проводится разработка; • к используемым технологическим средствам; • к документированию разработки. Раздел требований к процессу квалификационного анализа IT-продукта Профиль защиты регламентирует порядок проведения квалификационного анализа в виде методики исследований и тестирования IT-продукта. IT 8.3.2. Этапы разработки Профиля защиты Разработка Профиля защиты осуществляется в 3 этапа: • анализ среды применения IT-продукта с точки зрения безопасности; • выбор Профиля-прототипа; • синтез требований. Профиль защиты Схема разработки Профиля защиты согласно «Федеральным критериям» Этап I Этап II Этап III Анализ среды применения IT-продукта Выбор прототипа в картотеке профилей Профиль защиты • Предполагаемые угрозы • Слабые места в механизмах защиты • Политика безопасности • Нормативные документы и стандарты Профиль защиты 1 Профиль защиты 2 Профиль защиты 3 • Описание • Обоснование • Функциональные требования • Требования к технологии разработки • Требования к процессу эволюции Конец лекции 5
