ВУЗ:
Составители:
работке изделий или систем ИТ и при приобретении коммерческих изделий и систем с
функциями безопасности. ОК дают основу для оценки объекта, чтобы установить уро-
вень доверия к безопасности ИТ.
К таким объектам относятся, например, операционные системы, сети компьютеров,
распределенные системы, прикладные программы.
Аспекты безопасности ИТ включают защиту информации от несанкционированного
раскрытия, модификации или потери возможности использования при воздействии угроз,
являющихся результатом преднамеренных или непреднамеренных действий человека.
ОК могут быть также применимы и к другим аспектам безопасности ИТ.
ОК применимы при оценке безопасности ИТ, включая как аппаратные средства, так
и программное обеспечение.
Некоторые аспекты безопасности ИТ находятся вне рамок ОК. К ним относятся сле-
дующие:
1) ОК не охватывают оценку административных мер безопасности. Администра-
тивные меры безопасности в окружающей среде объекта оценки рассматриваются только
если они могут противостоять угрозам;
2) в ОК не рассматривается оценка технических аспектов безопасности ИТ типа
электромагнитного излучения;
3) ОК формулируют только критерии оценки и не содержат методик самой оценки,
а также административных структур, которые должны их использовать;
4) вне рамок ОК процедуры для использования результатов оценки при приеме сис-
темы в эксплуатацию;
5) в ОК не входят критерии для оценки специфических качеств криптографических
методов и алгоритмов защиты информации.
4.1.4. КОНЦЕПЦИИ ОБЩИХ КРИТЕРИЕВ
В соответствии с концепцией ОК требования безопасности объекта оценки подраз-
деляются на две категории: функциональные требования и требования гарантированно-
сти.
В функциональных требованиях ОК описаны те функции объекта оценки, которые
обеспечивают безопасность ИТ. Например, функциональные требования включают тре-
бования идентификации, установления подлинности (аутентификации) пользователей,
протоколирования (аудита) и др.
Требования гарантированности отражают качества объекта оценки, дающие осно-
вание для уверенности в том, что требуемые меры безопасности объекта реализованы
правильно и эффективны. Гарантированность получается на основе изучения назначения,
структуры и функционирования объекта оценки.
В ОК функциональные требования и требования гарантированности представлены в
одном и том же общем стиле и используют одну и ту же организацию и терминологию.
Термин класс используется для наиболее общей группировки требований безопас-
ности. Все члены класса разделяют общее намерение при отличии в охвате целей безо-
пасности.
Члены класса названы семействами. Семейство – группировка наборов требований
безопасности, которые обеспечивают выполнение определенной части целей безопасно-
сти, но могут отличаться в акценте или жесткости.
Члены семейства названы компонентами. Компонент описывает определенный на-
бор требований безопасности – наименьший набор требований безопасности для включения
в структуры, определенные в ОК.
Компоненты построены из элементов. Элемент – самый нижний и неделимый уро-
вень требований безопасности, на котором производится оценка их удовлетворения.
Организация требований безопасности в ОК по иерархии класс–семейство–
компонент–элемент помогает потребителю правильно определить компоненты, как
только будут идентифицированы угрозы безопасности объекта оценки.
Компоненты в семействе могут находиться в иерархической связи, когда необходи-
мо наращивание требований для выполнения одной из целей безопасности, или нет, ко-
гда имеет место качественно новое требование.
Между компонентами могут существовать зависимости, которые возникают, когда
компонент сам недостаточен для выполнения цели безопасности и необходимо наличие
другого компонента. Зависимости могут существовать между функциональными компо-
нентами, компонентами гарантированности и между теми и другими. Чтобы гарантиро-
вать законченность требований к объекту оценки, зависимости должны быть учтены при
включении компонентов в профиль защиты и задание по безопасности. Компоненты
могут быть преобразованы с помощью разрешенных действий, чтобы обеспечить выпол-
нение определенной политики безопасности или противостоять определенной угрозе. Не
все действия допустимы на всех компонентах. Каждый компонент идентифицирует и
Страницы
- « первая
- ‹ предыдущая
- …
- 24
- 25
- 26
- 27
- 28
- …
- следующая ›
- последняя »
