Информационная безопасность. Макаренко С.И. - 86 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

86
историческим причинам данный стандарт часто называют «Общими
критериями» (или даже ОК). Мы также будем использовать это сокращение.
«Общие критерии» на самом деле являются метастандартом,
определяющим инструменты оценки безопасности ИС и порядок их
использования. В отличие от «Оранжевой книги», «Общие критерии» не
содержат предопределенных «классов безопасности». Такие классы можно
строить, исходя из требований безопасности, существующих для
конкретной организации и/или конкретной информационной системы.
С программистской точки зрения «Общие критерии» можно считать
набором библиотек, помогающих писать содержательные «программы» -
задания по безопасности, типовые профили защиты и т.п.
Как и «Оранжевая книга», «Общие критерии» содержат два
основных вида требований безопасности:
- функциональные, соответствующие активному аспекту защиты,
предъявляемые к функциям безопасности и реализующим их
механизмам;
- требования доверия, соответствующие пассивному аспекту,
предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности предъявляются, а их выполнение проверяется
для определенного объекта оценки - аппаратно-программного продукта или
информационной системы.
Очень важно, что безопасность в «Общих критериях»
рассматривается не статично, а в привязке к жизненному циклу объекта
оценки. Выделяются следующие этапы:
- определение назначения, условий применения, целей и требований
безопасности;
- проектирование и разработка;
- испытания, оценка и сертификация;
- внедрение и эксплуатация.
В «Общих критериях» объект оценки рассматривается в контексте
среды безопасности, которая характеризуется определенными условиями и
угрозами.
В свою очередь, угрозы характеризуются следующими
параметрами:
1. источник угрозы;
2. метод воздействия;
3. уязвимые места, которые могут быть использованы;
4. ресурсы (активы), которые могут пострадать.
С точки зрения технологии программирования в «Общих критериях»
использован устаревший библиотечный (не объектный) подход. Чтобы, тем
не менее, структурировать пространство требований, в «Общих критериях»
введена иерархия класс-семейство-компонент-элемент.
Классы определяют наиболее общую, «предметную» группировку
требований (например, функциональные требования подотчетности). 
историческим причинам данный стандарт часто называют «Общими
критериями» (или даже ОК). Мы также будем использовать это сокращение.
      «Общие критерии» на самом деле являются метастандартом,
определяющим инструменты оценки безопасности ИС и порядок их
использования. В отличие от «Оранжевой книги», «Общие критерии» не
содержат предопределенных «классов безопасности». Такие классы можно
строить, исходя из требований безопасности, существующих для
конкретной организации и/или конкретной информационной системы.
      С программистской точки зрения «Общие критерии» можно считать
набором библиотек, помогающих писать содержательные «программы» -
задания по безопасности, типовые профили защиты и т.п.
      Как и «Оранжевая книга», «Общие критерии» содержат два
основных вида требований безопасности:
      - функциональные, соответствующие активному аспекту защиты,
         предъявляемые к функциям безопасности и реализующим их
         механизмам;
      - требования доверия, соответствующие пассивному аспекту,
         предъявляемые к технологии и процессу разработки и эксплуатации.
      Требования безопасности предъявляются, а их выполнение проверяется
для определенного объекта оценки - аппаратно-программного продукта или
информационной системы.
      Очень    важно,    что   безопасность    в   «Общих     критериях»
рассматривается не статично, а в привязке к жизненному циклу объекта
оценки. Выделяются следующие этапы:
      - определение назначения, условий применения, целей и требований
         безопасности;
      - проектирование и разработка;
      - испытания, оценка и сертификация;
      - внедрение и эксплуатация.
      В «Общих критериях» объект оценки рассматривается в контексте
среды безопасности, которая характеризуется определенными условиями и
угрозами.
      В    свою    очередь,   угрозы   характеризуются       следующими
параметрами:
      1. источник угрозы;
      2. метод воздействия;
      3. уязвимые места, которые могут быть использованы;
      4. ресурсы (активы), которые могут пострадать.
      С точки зрения технологии программирования в «Общих критериях»
использован устаревший библиотечный (не объектный) подход. Чтобы, тем
не менее, структурировать пространство требований, в «Общих критериях»
введена иерархия класс-семейство-компонент-элемент.
      Классы определяют наиболее общую, «предметную» группировку
требований (например, функциональные требования подотчетности).

                                   86

Страницы