Федеральные критерии безопасности информационных технологий
«Федеральные критерии безопасности информационных технологий (Federal Criteria for Information Technology Security)» «Американского федерального стандарта по обработке информации» (Federal Information Processing Standard), призванного заменить «Оранжевую книгу». Разработчиками стандарта выступили Национальный институт стандартов и технологий США (National Institute of Standards and Technology) и Агентство национальной безопасности США (National Security Agency). Материал излагается согласно версии 1.0 этого документа опубликованного в декабре 1992 года.
Федеральные критерии безопасности информационных технологий («Федеральные критерии») представляют собой основу для разработки и сертификации компонентов информационных технологий с точки зрения обеспеченности безопасности. . Принципиальным новшеством Федеральных критерий стал ввод понятия «профиль защиты» и использование нескольких независимых шкал оценки безопасности вместо одной универсальной.
Основные положения
«Федеральные критерии» практически охватывают все проблемы, связанные с защитой и обеспечением безопасности, так как рассматривают все вопросы обеспечения конфиденциальности, целостности и работоспособности.
Требования безопасности «Федеральных критериев» предъявляются к продуктам информационных технологий (Information Technology Products) и системам обработки информации (Information Technology Systems).
Под продуктом информационной технологии (ПИТ) понимается совокупность аппаратных и программных средств, которая представляет собой готовое к использованию средство обработки информации. Это средство и поставляется конечному потребителю.
|
|
|
Как правило, ПИТ эксплуатируется не автономно, а интегрируется в систему обработки информации, представляющую собой совокупность ПИТ, объединенных в функционально полный комплекс, предназначенный для решения прикладных задач (т. е. для реализации некоторой целевой функции ХХХ).
В ряде случаев система обработки информации может состоять только из одного ПИТ, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности. С точки зрения безопасности принципиальное различие между ПИТ и системой обработки информации определяется средой их эксплуатации. ПИТ, обычно, разрабатывается в расчете на то, что он будет использован во многих системах обработки информации, и, следовательно, разработчик должен ориентироваться только на самые общие положения о среде эксплуатации своего продукта, включающие условия применения и общие угрозы. Напротив, системы обработки информации разрабатываются для решения прикладных задач в расчете на требования конечных потребителей, что позволяет в полной мере учитывать специфику воздействий со стороны конкретной среды эксплуатации.
|
|
|
Положения «Федеральных критериев» касаются только собственных средств обеспечения безопасности ПИТ, т. е. механизмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, программных или специальных средств.
Ключевые понятия концепции информационной безопасности «Федеральных критериев» является понятие «профиля защиты» (Protection Profile).
Профиль защиты – это нормативный документ, который реализует все аспекты безопасности ПИТ в виде требований к его проектированию, технологии разработки и сертификации.
Как правило, один профиль защиты описывает несколько близких по структуре и назначению ПИТ. Основное внимание в профиле защиты уделяется требование к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.
Профиль защиты состоит из следующих разделов:
1. Описание профиля защиты – содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. Это позволяет любой организации воспользоваться созданным ранее профилем защиты непосредственно, или использовать его в качестве прототипа для разработки нового.
|
|
|
2. Обоснование профиля защиты – содержит описание среды эксплуатации, предполагаемых угроз безопасности и методов использования ПИТ. Кроме того, этот раздел содержит подробный перечень задач по обеспечению безопасности, решаемых с помощью данного профиля.
3. Функциональные требования к ПИТ – содержит описание функциональных возможностей средств защиты ПИТ и определяет условия, в которых обеспечивается безопасность в виде перечня угроз, которым успешно противостоят предложенные средства защиты.
4. Требования к технологии разработки ПИТ – содержит в виде описаний все этапы его создания, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования, как к самому процессу разработки, так и к условиям, в которых она проводится, к используемым технологическим средствам, а также к документированию этого процесса. Выполнение требований этого раздела является непременным условием для проведения сертификации ПИТ.
5. Требования к процессу классификационного анализа (сертификации) ПИТ – регламентирует порядок сертификации в виде типовой методики тестирования и анализа. Объем и глубина исследований зависят от наиболее вероятных типов угроз, среды применения и планируемой технологии эксплуатации.
Остановимся только на тех положениях «Федеральных критериев», которые явились шагом вперед по сравнению с предыдущими стандартами.
Дата добавления: 2021-04-05; просмотров: 51; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!