ВУЗ:
Составители:
определяет разрешенные действия или обстоятельства, при которых действие может
применяться к компоненту, и результаты применения действия. К разрешенным действи-
ям относятся: назначение, выбор и обработка.
Назначение – разрешает заполнить спецификацию идентифицированного параметра
при использовании компонента. Параметр может быть признаком или правилом, которое
конкретизирует требование к определенной величине или диапазону величин.
Выбор – это действие выбора одного или большего количества пунктов из списка,
чтобы конкретизировать возможности элемента.
Обработка – позволяет включить дополнительные детали в элемент и предполагает
интерпретацию требования, правила, константы или условия, основанную на целях безо-
пасности. Обработка должна только ограничить набор возможных приемлемых функций
или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не
позволяет создавать новые требования или удалять существующие и не влияет на список
зависимостей, связанных с компо-нентом.
ОК определяют также набор структур, которые объединяют компоненты требова-
ний безопасности.
Промежуточная комбинация компонентов названа пакетом. Пакет включает набор
требований, которые обеспечивают выполнение поднабора целей безопасности. Пакет
предназначен для многократного использования и определяет требования, которые явля-
ются необходимыми для достижения идентифицированных целей. Пакет может исполь-
зоваться для формирования профилей защиты и заданий по безопасности.
Уровни гарантии оценки – предопределенные пакеты требований гарантии. Уровень
гарантированности – это набор базовых требований гарантии для оценки. Каждый из
уровней содержит полный набор требований гарантии и определяет масштаб гарантии в
ОК.
Профиль защиты содержит набор функциональных требований и компонентов тре-
бований гарантированности, включенных в соответствующий уровень гарантии оценки.
Профиль защиты предназначен для многократного использования и определяет совокуп-
ность требований безопасности к объекту оценки, которые являются необходимыми и
эффективными для достижения поставленных целей.
Задание по безопасности содержит набор требований безопасности, которые могут
быть представлены ссылкой на профиль защиты, непосредственно на требования ОК или
сформулированы в явном виде. Задание по безопасности выражает требования безопас-
ности для конкретного объекта оценки.
В задании по безопасности предусматривается возможность включения функциональ-
ных требований, не содержащихся в ОК. Однако, при включении новых компонентов в ЗБ
необходимо учитывать следующее:
1. Такие требования должны быть четко и недвусмысленно сформулированы, что-
бы их оценка и демонстрация соответствия были выполнимы. Уровень детализации и
способ выражения соответствующих требований ОК должен использоваться как образец.
2. Результаты оценки, полученные с использованием функциональных компонен-
тов, не входящих в ОК, и требований гарантированности, не входящих в ОК, должны
быть также квалифицированы. Включение новых требований в Задание по Безопасности не
только требует соответствия структуре и правилам ОК, но и не гарантирует универсальное
принятие результатов оценки различными специалистами.
4.2. ДЕЙСТВУЮЩИЕ СТАНДАРТЫ И РЕКОМЕНДАЦИИ В ОБЛАСТИ ИНФОР-
МАЦИОННОЙ БЕЗОПАСНОСТИ
К основополагающим документам в области информационной безопасности отно-
сятся:
• «Оранжевая книга» (TCSEC);
• «Радужная серия»;
• «Гармонизированные критерии Европейских стран» (ITSEC);
• «Концепция защиты от НСД» Гостехкомиссии при Президенте РФ;
• «Рекомендации X.800».
4.2.1. КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ («ОРАНЖЕВАЯ
КНИГА» МИНИСТЕРСТВА ОБОРОНЫ США)
Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был
впервые опубликован в августе 1983 г. Уже его название заслуживает комментария. Речь
идет не о безопасных, а о надежных системах, причем слово «надежный» трактуется так
же, как в сочетании «надежный человек» – человек, которому можно доверять.
«Оранжевая книга» поясняет понятие безопасной системы, которая «управляет, по-
средством соответствующих средств, доступом к информации, так что только должным
образом авторизованные лица или процессы, действующие от их имени, получают право
Страницы
- « первая
- ‹ предыдущая
- …
- 25
- 26
- 27
- 28
- 29
- …
- следующая ›
- последняя »
