1. Введение | |||||||||
Возникает надпись Защищенная система и крутящийся ? возле нее. | |||||||||
В центре слайда – надпись Стандарты информационной безопасности и картинка в виде толстой папки. С края появляется надпись Понятия и концепции информационной безопасности и картинка в виде многих листков бумаги – документов. С края появляется надпись Стандартизация требований и критериев безопасности и картинка в виде очков. С края появляется надпись Шкала оценки степени защищенности ВС и картинка в виде пьедестала почета с компьютерами на нем. Картинки у надписей с краю соединяются линиями с изображением папки. Возникает надпись Защищенная система и соединяется стрелкой с папкой Стандарты информационной безопасности.
| |||||||||
2. Основные понятия и определения | |||||||||
· Политика безопасности (Security Policy). Совокупность норм-правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности. · Модель безопасности (Security Model). Формальное представление политики безопасности. | |||||||||
· Дискреционное, или произвольное, управление доступом (Discretionary Access Control). Управление доступом, осуществляемое на основании заданного администратором множества разрешенных отношений доступа (например в виде троек <объект, субъект, тип доступа>). | |||||||||
· Мандатное, или нормативное, управление доступом (Mandatory Access Control). Управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от грифа секретности информации и уровня допуска пользователя. | |||||||||
· Ядро безопасности — Trusted Computing Base (ТСВ). Совокупность аппаратных, программных и специальных компонент ВС, реализующих функции защиты и обеспечения безопасности. | |||||||||
· Идентификация (Identification). Процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов). · Аутентификация (Authentication). Проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов. | |||||||||
· Адекватность (Assurance). Показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам. | |||||||||
· Квалификационный анализ, квалификация уровня безопасности (Evaluation). Анализ ВС с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности. Квалификация уровня безопасности завершается присвоением ВС того или иного класса или уровня безопасности. Эксперты по квалификации - специалисты, занимающиеся квалификационным анализом. | |||||||||
· Таксономия (Taxonomy). Наука о систематизации и классификации сложноорганизованных объектов и явлений, имеющих иерархическое строение (от греческого taxis — строй, порядок и nomos — закон). | |||||||||
В отличие от классификации, устанавливающий связи и отношения между объектами (иерархия строится снизу-вверх), таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объектов (иерархия строится сверху-вниз). | |||||||||
· Прямое взаимодействие (Trusted Path). Принцип организации информационного взаимодействия, гарантирующий, что передаваемая информация не подвергается перехвату или искажению. | |||||||||
3. Угрозы безопасности компьютерных систем | |||||||||
Появляется изображение компьютера с подписью Вычислительная система. Вокруг Вычислительной системы возникает множество молний с подписью Угрозы безопасности. Выводится пояснение: Угроза безопасности вычислительной системе - это воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности. | |||||||||
Выводится заголовок Виды угроз. Появляется изображение компьютера с подписью Вычислительная система. Появляется изображение человека-шпиона в темных очках (или в шляпе и плаще с поднятым воротником), молния в сторону Вычислительной системы и надпись Угрозы конфиденциальности Выводится пояснение: Угрозы конфиденциальности направлены на разглашение секретной информации. Также они называются "несанкционированный доступ" (НСД). Пояснение исчезает. Появляется изображение кирпичной стены без некоторых кирпичей (или треснутой стены), молния в сторону Вычислительной системы и надпись Угрозы целостности Выводится пояснение: Угрозы целостности - любое искажение или изменение неавторизованным на это действие лицом хранящейся в ВС или передаваемой информации. Целостность информации может быть нарушена как злоумышленником, так и результате объективных воздействий со стороны среды эксплуатации системы. Пояснение исчезает. Появляется изображение человека-шпиона, молотка, занесенного над ВС, молния в сторону Вычислительной системы и надпись Угрозы нарушения работоспособности Выводится пояснение: Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание ситуаций, когда в результате преднамеренных действий ресурсы вычислительной системы становятся недоступными, или снижается ее работоспособность. Пояснение исчезает. | |||||||||
Присутствует изображение компьютера с подписью Вычислительная система, и нарисованные на предыдущем слайде угрозы. Каждая из угроз отбрасывается (или перечеркивается), и под ВС появляется подпись Безопасная (защищенная) система. Выводится пояснение (под Безопасной системой): - это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. | |||||||||
4. Роль стандартов информационной безопасности | |||||||||
Появляется изображение группы людей и подпись Потребители. Появляется изображение человека за компьютером и подпись Производители. Появляется изображение человека и очков и подпись Эксперты по квалификации и специалисты по сертификации. В центре слайда возникает изображение толстой книги (папки) и подпись Стандарты информационной безопасности. От Потребителей, Производителей и Экспертов проводятся двунаправленные стрелки к Стандартам. Выводится текст: Задача стандартов информационной безопасности - примирить эти три точки зрения и создать эффективный механизм взаимодействия всех сторон. | |||||||||
Возникает изображение толстой книги (или многих книг) и надпись: Наиболее значимые стандарты информационной безопасности: · "Критерии безопасности компьютерных систем министерства обороны США" · Руководящие документы Гостехкомиссии России · "Европейские критерии безопасности информационных технологий" · "Федеральные критерии безопасности информационных технологий США" · "Канадские критерии безопасности компьютерных систем" · "Единые критерии безопасности информационных технологий" | |||||||||
Конец лекции 1 | |||||||||
5. Критерии безопасности компьютерных систем министерства обороны США ("Оранжевая книга") | |||||||||
5.1. Цель разработки | |||||||||
Появляется заголовок: "Критерии безопасности компьютерных систем" «Оранжевая книга» И изображение оранжевой книги. Ниже мелко - Trusted Computer System Evaluation Criteria Выводится текст: были разработаны Министерством обороны США в 1983 году. Цель : · определение требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем, · выработка методологии анализа степени поддержки политики безопасности в компьютерных системах. | |||||||||
Появляется заголовок: "Критерии безопасности компьютерных систем" «Оранжевая книга» И изображение оранжевой книги. Выводится текст: Были впервые нормативно определены такие понятия, как "политика безопасности", ТСВ. | |||||||||
5.2. Таксономия требований и критериев "Оранжевой книги" | |||||||||
Заголовок: Три категории требований безопасности: Рисуются 3 стрелки от заголовка, которые указывают на: · политика безопасности, изображение человека, документа, и стрелки между ними со знаком вопроса над ней · аудит изображение книги, в которой пишет ручка или перо · корректность изображение лупы, через которую рассматривается документ В рамках этих категорий сформулированы шесть базовых требований безопасности. | |||||||||
5.2.1 Политика безопасности | |||||||||
В заголовке – Политика безопасности Требование 1. Политика безопасности. Изображение человека и документа. Между ними возникает стрелка, над которой – изображение документа с галочками у строк текста. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Используется политика нормативного управления доступом. | |||||||||
В заголовке – Политика безопасности Требование 2. Метки.Изображение человека и нескольких документов вокруг него. На документах проставлены печати, от человека к документам направлены стрелки со знаками?.С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. | |||||||||
5.2.2 Аудит | |||||||||
В заголовке – Аудит Требование 3. Идентификация и аутентификация. Изображение человека со значком. От него стрелка со знаком? над ней, направлена к папке. К этой стрелке направлена перечеркнутая стрелка от другого человека. Все субъекты имеют уникальные идентификаторы. Контроль доступа осуществляется на основании: · результатов идентификации субъекта и объекта доступа, · подтверждения подлинности идентификации (аутентификации) · правил разграничения доступа. Данные, используемые для идентификации и аутентификации, защищены от НСД, модификации и уничтожения. | |||||||||
В заголовке – Аудит Требование 4. Регистрация и учет. Изображение человека и документа, стрелки между ними, и от них стрелка в открытую книгу. Рядом с книгой изображен шпион, от него стрелка к книге перечеркнута. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения. | |||||||||
5.2.3 Корректность | |||||||||
В заголовке – Корректность Изображение лупы, под ней – компьютер. Требование 5. Контроль корректности функционирования средств защиты. Все средства защиты находятся под контролем средств, проверяющих корректность их функционирования. Средства контроля полностью независимы от средств защиты. | |||||||||
Требование 6. Непрерывность защиты. Изображение лупы, под ней – компьютер. Около лупы – изображение шпиона, от него перечеркивается стрелка к лупе. Все средства защиты защищены от несанкционированного вмешательства и/или отключения. Изображение лупы, под ней – компьютер. Все изображение дрожит, затем останавливается в начальном положении. Эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. | |||||||||
5.2.4. Таксономия критериев безопасности | |||||||||
СХЕМА | |||||||||
5.3. Классы безопасности компьютерных систем | |||||||||
Заголовок Группы критериев Изображение пирамиды, состоящей их 4х разноцветных ярусов. Рядом с ярусами – подписи групп. Нижний – группа D, верхний – группа А. Внутри ярусов подписаны в столбик названия классов. Рисуется стрелка снизу вверх вдоль пирамиды. Около стрелки подпись Уровень безопасности. | |||||||||
Изображение пирамиды, нижний ярус больше по размеру, подписан (Группа D, внутри него Класс D) и цветной, верхние 3 яруса – серые и неподписанные. Справа текст: Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов. | |||||||||
Изображение пирамиды, второй снизу вверх ярус больше по размеру, подписан (Группа С, внутри него Класс С1 и Класс С2) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Дискреционная защита. Произвольного управление, доступ и регистрация действий субъектов | |||||||||
Изображение пирамиды, второй снизу вверх ярус больше по размеру, подписан (Группа С, внутри него Класс С1 и Класс С2) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Класс С1. Дискреционная защита. Рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности. Класс С2. Управление доступом. Применяются средства индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов. | |||||||||
Изображение пирамиды, третий снизу вверх ярус больше по размеру, подписан (Группа В, внутри него Класс В1, В2 и В3) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Мандатная защита. · нормативное управление доступом с использованием меток безопасности · поддержка модели и политики безопасности · наличие спецификаций на функции ТСВ Монитор взаимодействий должен контролировать все события в системе. | |||||||||
Изображение пирамиды, третий снизу вверх ярус больше по размеру, подписан (Группа В, внутри него Класс В1, В2 и В3) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать · определенную неформально модель безопасности, · маркировку данных · нормативное управление доступом. | |||||||||
Изображение пирамиды, третий снизу вверх ярус больше по размеру, подписан (Группа В, внутри него Класс В1, В2 и В3) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Класс В2. Структурированная защита. · ТСВ системы должна поддерживать формально определенную и четко документированную модель безопасности. · Осуществляется контроль скрытых каналов утечки информации. · В структуре ТСВ выделены элементы, критичные с точки зрения безопасности. | |||||||||
· Интерфейс ТСВ четко определен. · Усилены средства аутентификации. · Управление безопасностью осуществляется администраторами системы. · Предусмотрены средства управления конфигурацией. | |||||||||
Изображение пирамиды, третий снизу вверх ярус больше по размеру, подписан (Группа В, внутри него Класс В1, В2 и В3) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Класс ВЗ. Домены безопасности. · ТСВ системы поддерживает монитор взаимодействий, контролирующий все типы доступа субъектов к объектам. · В ходе разработки и реализации ТСВ минимизируется ее сложность. | |||||||||
· Средства аудита включают механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. · Наличие средств восстановления работоспособности системы. | |||||||||
Изображение пирамиды, верхний ярус больше по размеру, подписан (Группа А, внутри него Класс А1) и цветной, остальные ярусы – серые и неподписанные. Справа текст: Верифицированная защита. Класс А1. Формальная верификация. · Формальные методы верификации корректности работы механизмов управления доступом. · Требуется дополнительная документация, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности. | |||||||||
5.4. Интерпретация и развитие "Оранжевой книги" | |||||||||
Внизу слайда – изображение оранжевой книги с подписью Оранжевая книга, 1983г. Стрелка вверх. У стрелки подпись- все дополнения и разъяснения объединены в. Указывает на книгу с надписью "Интерпретация критериев безопасности компьютерных систем" 1995г. Национальный центр компьютерной безопасности США. 2 стрелки влево вверх. Указывают на книги с надписями "Интерпретация "Оранжевой книги" для компьютерных сетей" (Trusted Network Interpretation) И "Интерпретация "Оранжевой книги" для систем управления базами данных" (Trusted Database Management System Interpretation). Над 1й стрелкой нарисованы 2 соединенных в сеть компьютера, над другой стрелкой – компьютер с подсоединенным к нему изображением базы данных (цилиндр с подписью БД) Справа снизу возле Оранжевой книги надпись: В ходе применения положений «Оранжевой книги» выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта, и, с течением времени ряд положений устарел и потребовал пересмотра. | |||||||||
5.5. Выводы | |||||||||
· «Оранжевая книга» представляет собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. · «Оранжевая книга» ориентирована на системы военного применения, в основном на операционные системы. · "Оранжевая книга" послужила основой для разработчиков всех остальных стандартов информационной безопасности. | |||||||||
Конец лекции 2 | |||||||||
6. Европейские критерии безопасности информационных технологий | |||||||||
Вслед за выходом "Оранжевой книги" страны Европы разработали "Критерии безопасности информационных технологий" (Information Technology Security Evaluation Criteria). | |||||||||
6.1. Основные понятия | |||||||||
Выводится заголовок Задачи средств информационной безопасности. Появляется изображение компьютера с подписью Вычислительная система. Появляется изображение человека-шпиона в темных очках (или в шляпе и плаще с поднятым воротником), молния в сторону Вычислительной системы и надпись Угроза НСД Появляется изображение кирпичной стены без некоторых кирпичей (или треснутой стены), молния в сторону Вычислительной системы и надпись Угрозы целостности информации Появляется изображение человека-шпиона, молотка, занесенного над ВС, молния в сторону Вычислительной системы и надпись Угрозы нарушения работоспособности Молнии перечеркиваются, угрозы отбрасываются. | |||||||||
Адекватность (assurance) средств защиты характеризует степень уверенности в правильности их выбора и надежности функционирования и включает в себя: · Эффективность · Корректность | |||||||||
Появляется изображение документов со знаками? на них и подписью Задачи. Появляется изображение документов со знаками! на них и подписью Функции защиты. Между Задачами и Функциями рисуются линии связи. Выводится подпись: Эффективность определяется соответствием между задачами, поставленными перед средствами безопасности, и реализованным набором функций защиты. | |||||||||
Появляется изображение компьютера, другого компьютера со знаком? на экране. От компьютера со знаком? к 1му компьютеру – молнии, которые отбрасываются. Выводится подпись: Корректность - правильность и надежность реализации функций безопасности. | |||||||||
6.2. Функциональные критерии | |||||||||
Средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации: · цели обеспечения безопасности изображение крутящегося? · спецификации функций защиты изображение документа с текстом · реализующие иx механизмы. Изображение шестеренок. | |||||||||
Изображение документа с текстом Спецификации функций защиты рассматривается с точки зрения следующих требований: · идентификация и аутентификация; · управление доступом; · подотчетность; · аудит; · повторное использование объектов; · целостность информации; · надежность обслуживания; · безопасность обмена данными. | |||||||||
Изображение документов, перелетающих из компьютера в компьютер, соединенных линией (каналом связи) Требования безопасности обмена данными включают в себя: · аутентификация; · управление доступом; · конфиденциальность данных; · целостность данных; · невозможность отказаться от совершенных действий. | |||||||||
Определено десять классов-шаблонов безопасности. Классы F-C1, F-C2, F-B1, F-B2, F-B3 соответствуют классам безопасности "Оранжевой книги" с аналогичными обозначениями. | |||||||||
Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности - для систем управления базами данных. Изображение 2х людей, 2х папок. От одного человека тянутся линии к 2м папкам, от другого – только к одной, а к другой папке – перечеркивается. Основан на концепции "ролей", соответствующих видам деятельности пользователей, и предоставлении доступа к определенным объектам только посредством доверенных процессов. | |||||||||
Виды доступа: · чтение, · запись, · добавление, · удаление, · создание, · переименование · выполнение объектов | |||||||||
Изображение компьютера, подсоединенного к заводу. Класс F-AV - повышенные требования к обеспечению работоспособности. Ориентирован на системы управления технологическими процессами. Все критически важные функции остаются постоянно доступными при восстановлении после отказа и замене компонентов системы. Время реакции системы на внешние события неизменно, независимо от уровня загрузки. | |||||||||
Изображение папки, к которой подсоединены линиями 3-4 компьютера. Класс F-DI ориентирован на распределенные системы обработки информации. · Идентификация и аутентификация участников взаимодействия. Над линиями возникают и исчезают знаки?. · используются средства контроля и исправления ошибок. Одна из линий мигает, потом над ней рисуется знак!. · обнаруживаются все искажения адресной и пользовательской информации. Одна из линий становится ломаной, над ней рисуется знак! и линия снова прямая. · Обнаруживаются попытки повторной передачи ранее переданных сообщений. Одна из линий мигает, потом не мигает, потом снова мигает, и около нее возникает знак! | |||||||||
Изображение 2х компьютеров, соединенных друг с другом. У одного компьютера возникает папка, на ней рисуется замок, папка движется над линией между компьютерами, у 2го компьютера замок с папки снимается и папка исчезает. Класс F-DC - особое внимание к конфиденциальности передаваемой информации. Информация по каналам связи передается в зашифрованном виде. Ключи шифрования защищены от НСД. | |||||||||
Класс F-DX - повышенные требования и к целостности и к конфиденциальности информации. Можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика. Изображение 2х компьютеров, соединенных друг с другом. У одного компьютера возникает папка, на ней рисуется замок, над линией возникает знак?, а затем папка движется над линией между компьютерами, у 2го компьютера замок с папки снимается и папка исчезает. | |||||||||
6.3. Критерии адекватности | |||||||||
Изображение 7 квадратиков, вертикально стоящих друг на друге. Каждый подписан (от Е0 к Е6). Рисуется стрелка снизу вверх вдоль квадратиков, у стрелки подпись Нарастание требований тщательности контроля У нижнего квадрата подпись Минимальная адекватность. | |||||||||
У квадрата Е1 подпись: анализ общей архитектуры системы, функциональное тестирование средств защиты. | |||||||||
У квадрата Е3 подпись: анализ исходных текстов программ и схем аппаратного обеспечения У квадрата Е6 подпись: формальное описание функций безопасности, общей архитектуры, политики безопасности. | |||||||||
Степень безопасности системы определяется самым слабым из критически важных механизмов защиты. Три уровня безопасности: · Базовый · Средний · Высокий | |||||||||
Изображен компьютер, в него нацеливается молния, молния отбрасывается. Базовая безопасность: средства защиты способны противостоять отдельным случайным атакам. Изображен компьютер, в него нацеливается молния от злоумышленника, молния отбрасывается. Средняя безопасность: средства защиты способны противостоять злоумышленникам, обладающим ограниченными ресурсами и возможностями. | |||||||||
Изображен компьютер, в него нацеливается 2-3 молнии от большого злоумышленника (или нескольких сразу), все молнии отбрасывается. Затем – очень много молний, и компьютер мигает красным. Высокая безопасность: есть уверенность, что средства защиты могут быть преодолены только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за рамки возможного. | |||||||||
6.4. Выводы | |||||||||
· «Европейские критерии безопасности информационных технологий» оказали существенное влияние на стандарты безопасности и методику сертификации. · Главное достижение— введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. · "Европейские критерии" тесно связаны с "Оранжевой книгой". · "Европейские критерии" наряду с "Оранжевой книгой" легли в основу многих стандартов безопасности компьютерных систем. | |||||||||
Конец лекции 3 | |||||||||
7. Руководящие документы Гостехкомиссии России | |||||||||
7.1. Основные положения | |||||||||
Изображение стопки из книг. В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала пять Руководящих документов. Важнейшие: · "Концепция зашиты средств вычислительной техники от несанкционированного доступа к информации", · "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", · "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" | |||||||||
7.2. Таксономия критериев и требований безопасности | |||||||||
Группы критериев безопасности: · показатели защищенности средств вычислительной техники (СВТ) от НСД позволяют оценить защищенность отдельных компонентов ВС. Изображение одного компьютера, закрытого кольцом от молний – угроз НСД · критерии защищенности автоматизированных систем (АС) обработки данных. позволяют оценить защищенность полнофункциональных систем. Изображение нескольких компьютеров, закрытых кольцом от молний – угроз НСД | |||||||||
7.2.1. Показатели защищенности СВТ от НСД | |||||||||
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Изображение лазерного диска, вставляемого в компьютер. Комплекс средств защиты (КСЗ) - это совокупность всех средств защиты. | |||||||||
7 классов защищенности СВТ от НСД: Изображение 7 квадратов, вертикально стоящих друг на друге. Квадраты подписаны от 7в нижнем до 1 в верхнем. Сбоку нарисована стрелка снизу вверх и подпись Рост защищенности.
| |||||||||
7.2.2. Требования к защищенности автоматизированных систем | |||||||||
СХЕМА | |||||||||
7.3. Классы защищенности автоматизированных систем | |||||||||
Изображение:
У каждой из 3х групп подпись Группа 3, Группа 2 и Группа 1. Рядом – вертикальная стрелка, снизу вверх, с подписью Рост степени защищенности | |||||||||
Группа 3 выделена, остальные - бледные. Подпись: АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. | |||||||||
Группа 2 выделена, остальные - бледные. Подпись: АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и/или хранимой в АС на носителях различного уровня конфиденциальности.
| |||||||||
Группа 1 выделена, остальные - бледные. Подпись: Многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. | |||||||||
7.4. Выводы | |||||||||
· Разработка руководящих документов ГТК - первая стадия формирования отечественных стандартов в области информационной безопасности. · На разработку этих документов наибольшее влияние оказала "Оранжевая книга". · Документы ориентированы на системы военного применения. · "политика безопасности" трактуется как поддержание режима секретности и отсутствия НСД. | |||||||||
Конец лекции 4 |
8. Федеральные критерии безопасности информационных технологий | |
8.1. Цель разработки | |
"Федеральные критерии безопасности информационных технологий" (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих "Американского федерального стандарта по обработке информации" (Federal Information Processing Standard), призванного заменить "Оранжевую книгу". «Федеральные критерии» - основа для разработки и сертификации компонентов информационных технологий с точки зрения обеспечения безопасности. Сверху изображения «Оранжевой книги» появляется изображение другой книги, открытой. | |
Цели создания «Федеральных критериев»: · Определение универсального и открытого для дальнейшего развития базового набора требований безопасности, предъявляемых к современным информационным технологиям. Изображение документа с проставленными галочками · Совершенствование существующих требований и критериев безопасности. От изображения одного документа рисуется стрелка, указывающая на другой документ. · Нормативное закрепление основополагающих принципов информационной безопасности. На изображении документа ставится печать. | |
8.2. Основные положения | |
"Федеральные критерии" включают все аспекты обеспечения конфиденциальности, целостности и работоспособности. Основные объекты применения требований безопасности "Федеральных критериев": · продукты информационных технологий (Information Technology Products, ИТ-продукты) · системы обработки информации (Information Technology Systems). | |
Продукты информационных технологий – совокупность аппаратных, программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации. Разрабатывается для использования во многих системах обработки информации. Разработчик ориентируется на самые общие предположения о среде эксплуатации своего продукта. ИТ-продукт интегрируется в систему обработки информации. Изображение коробки, на которой написано «IT» | |
Система обработки информации- совокупность ИТ-продуктов, объединенных в функционально полный комплекс, предназначенный для решения прикладных задач. Разрабатывается для решения прикладных задач в расчете на требования конечных потребителей. Учитывается специфика воздействий со стороны конкретной среды эксплуатации. В ряде случаев система обработки информации может состоять только из одного ИТ-продукта. Изображение нескольких коробок с надписями «IT», которые соединяются линиями. | |
Положения "Федеральных критериев" касаются только собственных средств обеспечения безопасности ИТ-продуктов. Изображение коробки, на которой написано «IT», на нее указывает стрелка от книги. | |
Профиль защиты (Protection Profile): нормативный документ, регламентирующий все аспекты безопасности ИТ-продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу. Один Профиль защиты описывает несколько близких по структуре и назначению ИТ-продуктов. Изображения нескольких коробок с надписями «IT», соединенных линиями с документом с заголовком «Профиль защиты». Этапы разработки систем обработки информации: · Разработка и анализ Профиля защиты. Появляется изображение документа с заголовком «Профиль защиты». · Разработка и квалификационный анализ ИТ-продуктов. Появляется изображение коробки с надписью «IT», затем над коробкой возникает лупа. · Компоновка и сертификация системы обработки информации в целом. Несколько коробок с надписью «IT» соединяются линиями. | |
Разработка и анализ Профиля защиты. Появляется изображение документа с заголовком «Профиль защиты». Профиль защиты: · содержит требования безопасности · содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования и квалификационного анализа ИТ-продукта. · анализируется на полноту, непротиворечивость и техническую корректность. | |
Разработка и квалификационный анализ ИТ-продуктов Появляется изображение коробки с надписью «IT», затем над коробкой возникает лупа. ИТ-продукты подвергаются независимому анализу, с целью определить степень соответствия характеристик продукта сформулированным в Профиле защиты требованиям и спецификациям | |
Компоновка и сертификация системы обработки информации в целом. Несколько коробок с надписью «IT» соединяются линиями. Успешно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработки информации, которая удовлетворяет заявленным в Профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации. | |
8.3. Профиль защиты | |
8.3.1 Назначение и структура Профиля защиты | |
Изображение документа с заголовком «Профиль защиты». Профиль защиты предназначен для: · определения и обоснования состава и содержания средств защиты · спецификации технологии разработки · регламентации процесса квалификационного анализа ИТ-продукта. | |
От изображения документа с заголовком «Профиль защиты» отходят стрелки к элементам списка: Состав Профиля защиты: • описание; • обоснование; • функциональные требования к ИТ-продукту; • требования к технологии разработки ИТ-продукта; • требования к процессу квалификационного анализа ИТ-продукта. | |
От изображения документа с заголовком «Профиль защиты» отходит стрелка к изображению страницы. От страницы отходит стрелка к шкафчику-картотеке с открытым ящиком: Описание Профиля содержит классификационную информацию, необходимую для его идентификации в специальной картотеке. Предлагается поддерживать такую картотеку на общегосударственном уровне. Должна быть охарактеризована основная проблема или группа проблем обеспечения безопасности, решаемых с помощью применения данного Профиля. | |
От изображения документа с заголовком «Профиль защиты» отходят стрелки к зданию, к группе людей. Над стрелками знаки?. Стрелки со знаками? мигают. Обоснование содержит: · описание среды эксплуатации, · предполагаемых угроз безопасности · методов использования ИТ-продукта. Обоснование дает возможность определить, в какой мере данный Профиль защиты пригоден для применения в той или иной ситуации. | |
Функциональные требования к ИТ-продукту – это описание функциональных возможностей средств защиты ИТ-продукта и определение условий, в которых обеспечивается безопасность – перечень угроз, которым успешно противостоят предложенные средства защиты. От изображения документа с заголовком «Профиль защиты» отходит стрелка к странице со списком. От страницы со списком – стрелка к нескольким молниям. Молнии мигают и перечеркиваются. | |
Раздел требований к технологии разработки ИТ-продукта содержит требования · к самому процессу разработки, · к условиям, в которых проводится разработка, · к используемым технологическим средствам, · к документированию разработки. От изображения документа с заголовком «Профиль защиты» отходит стрелка к странице со списком. От страницы со списком – стрелка к компьютеру и к стопке документов. | |
Раздел требований к процессу квалификационного анализа ИТ-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследований и тестирования ИТ-продукта. От изображения документа с заголовком «Профиль защиты» отходит стрелка к странице со списком. От страницы со списком – стрелка к лупе над коробкой с надписью «IT». | |
8.3.2. Этапы разработки Профиля защиты | |
Разработка Профиля защиты осуществляется в три этапа: · анализ среды применения ИТ-продукта с точки зрения безопасности, · выбор Профиля-прототипа · синтез требований. | |
СХЕМА 2.4. | |
Конец лекции 5 | |
8.4. Функциональные требования к ИТ-продукту | |
Требования, изложенные в "Федеральных критериях", разработаны на основе обобщения "Оранжевой книги" и "Европейских критериев". Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. ТСВ объединяет все компоненты ИТ-продукта (аппаратные, программные и специальные средства), реализующие функции защиты. Изображение страницы со списком, от нее стрелка указывает на коробку с надписью “IT”, внутри коробки – эллипс с надписью ТСВ. | |
8.4.1. Таксономия функциональных требований | |
Рисуется схема 2.5 построчно (появляется 1я строка, затем 2я…, и т. д.). Только НЕ расшифровывается!!!! Реализация политики безопасности. Т. е. рисуется кусок схемы 2.5 – список ниже: Функциональные требования к ТСВ: · Реализация политики безопасности · Мониторинг взаимодействий · Логическая защита TCB · Физическая защита TCB · Самоконтроль TCB · Инициализация и восстановление TCB · Ограничение привилегий при работе с TCB · Простота использования TCB | |
Рисуется ветвь схемы 2.5, посвященная Реализации политики безопасности. То есть пишется Реализации политики безопасности, от нее отходит 4 стрелки, указывающие на позиции списка ниже: Реализация политики безопасности: · политика аудита · политика управления доступом · политика обеспечения работоспособности · управление безопасностью | |
Политика аудита обеспечивает возможность однозначной идентификации субъекта, ответственного за те или иные действия в системе. Рисуется ветвь схемы 2.5, посвященная Политике аудита. Пишется Политика аудита, от нее отходит 4 линии, которые указывают на позиции списка: · идентификация и аутентификация · регистрация пользователя в системе, · обеспечение прямого взаимодействия с ТСВ, · регистрация и учет событий. | |
Изображение человека, от него стрелка к изображению человека в рамочке. Идентификация и аутентификация устанавливают однозначное соответствие между пользователями и представляющими их в ВС субъектами разграничения доступа, и подтверждают подлинность этого соответствия. | |
Изображение человека, от него стрелка к изображению человека в рамочке, от человека в рамочке – стрелка к компьютеру.
Регистрация пользователя в системе - создание субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя. | |
Изображение эллипса с надписью ТСВ, к нему и от него – стрелки, на стрелки наводятся 2-3 молнии, молнии отбрасываются. Обеспечение прямого взаимодействия с ТСВ гарантирует, что информация, которая передается в ТСВ и обратно, не подвергается перехвату или искажению. | |
От изображения человека – с трелки туда и обратно к компьютеру. От этих стрелок – стрелка в сторону, указывает на книжку. Стрелка от человека к компьютеру становится красной, тогда становится красной стрелка к книжке, и мигает большой восклицательный знак. Регистрация и учет событий в системе позволяет распознавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности. | |
Политика управления доступом обеспечивает конфиденциальность и целостность обрабатываемой информации. Рисуется ветвь схемы 2.5, посвященная Политике управления доступом. Пишется Политика управления доступом, от нее отходит 3 линии, которые указывают на позиции списка: · произвольное управление доступом · нормативное управление доступом · контроль скрытых каналов утечки информации.
| |
От изображения человека 3 стрелки к изображению компьютера. Рядом со стрелками появляется лупа. Произвольное управление доступом позволяет: · осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов · обеспечивает контроль за распространением прав доступа среди субъектов. | |
От изображения человека несколько стрелок к изображению компьютера и обратно. Рядом со стрелками появляется лупа. Нормативное управление доступом основано на контроле информационных потоков между субъектами и объектами и их атрибутах безопасности.
| |
Несколько стрелок в сторону от компьютера. Одни стрелки перечеркиваются, у остальных появляются несколько волнистых линий («помехи»). Контроль скрытых каналов утечки информации Каналы утечки ликвидируются минимизацией объема совместно используемых ресурсов и введения активных "шумовых помех". | |
Рисуется ветвь схемы 2.5, посвященная Политике обеспечения работоспособности. Пишется Политика обеспечения работоспособности системы, от нее отходит 2 линии, которые указывают на позиции списка: Политика обеспечения работоспособности системы: · контроль за распределением ресурсов · обеспечение отказоустойчивости.
| |
Рисуется 3 человека и 1 компьютер. От каждого человека к компьютеру – стрелка. Стрелка от 3го человека перечеркивается. Контроль за распределением ресурсов Вводятся ограничения (квоты) на потребление ресурсов или приоритетная система распределения ресурсов. | |
По изображению компьютера ударяют молотком. Компьютер падает на бок, поднимается, мигает, затем не мигает. Обеспечение отказоустойчивости · противостоит угрозам работоспособности · обеспечивает корректное восстановление системы после сбоев | |
Изображение папки и амбарного замка. Управление безопасностью регламентирует: · компоновку, установку, конфигурацию и поддержку ТСВ; · администрирование атрибутов безопасности пользователей; · администрирование политики управления доступом; · управление потреблением ресурсов системы; · аудит действий пользователей.
| |
От человека стрелка к эллипсу с надписью ТСВ, а от ТСВ – стрелки к изображениям документа, цилиндра, шестеренки. Мониторинг взаимодействий. Гарантируется, что все без исключения взаимодействия в системе, (доступ к объектам, ресурсам и сервисам) осуществляются при обязательном посредничестве ТСВ. | |
Изображение 2х человек. От одного идет стрелка к ТСВ, а от другого – стрелка перечеркивается. Логическая защита ТСВ. ТСВ должна быть защищена от внешних воздействий со стороны непривилегированных пользователей.
| |
Политика безопасности, мониторинг взаимодействий и логическая защита ТСВ - обязательные компоненты всех Профилей защиты. | |
Изображение компьютера, закрываемого в сейф. Физическая защита ТСВ. Задаются ограничения на физический доступ к компонентам ТСВ, и допустимые физические параметры среды функционирования ВС. | |
Эллипс с надписью ТСВ трескается, около трещины возникает лупа, эллипс мигает, затем трещина пропадает. Самоконтроль ТСВ. Позволяют вовремя обнаруживать нарушения целостности компонентов ТСВ, и осуществлять восстановление целостности ТСВ. | |
Эллипс с надписью ТСВ мигает, затем перестает мигать. Рядом изображен замОк. Инициализация и восстановление ТСВ. Процесс восстановления после сбоя должен происходить без нарушений функционирования средств защиты. Восстановленное состояние ТСВ должно соответствовать требованиям политики безопасности, мониторинга взаимодействий и самоконтроля целостности. | |
От изображения человека 3 стрелки к эллипсу с надписью ТСВ. Две стрелки мигают и пропадают. Ограничение привилегий при работе с ТСВ. Основной принцип назначения полномочий для работы с ТСВ - принцип минимальной достаточности. Обеспечивается постоянным контролем и автоматическим понижением привилегий пользователей при обращении к компонентам или сервису ТСВ.
| |
К эллипсу с надписью ТСВ идут стрелки от: Человека с монитором компьютера Человека (без дополнительных изображений) Человека с документом с каким-то текстом (имеется в виду программа) Простота использования ТСВ. Обеспечивает удобство пользования возможностями ТСВ для · администраторов, · рядовых пользователей, · разработчиков прикладных программ, взаимодействующих с ТСВ. Включает: · порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности, · устанавливаемые по умолчанию полномочия, · интерфейс пользователей и администратора.
| |
Конец лекции 6 | |
8.4.2. Ранжирование функциональных требований | |
Пишется надпись Критерии ранжирования функциональных требований. От нее отходят 4 стрелки к: · широта сферы применения, · степень детализации, · функциональный состав средств защиты, · обеспечиваемый уровень безопасности. | |
Изображение группы людей. От них – группа стрелок к и от эллипса ТСВ. Эллипс ТСВ меняет форму 3-4 раза. Широту сферы применения определяют: · пользователи системы, субъекты и объекты доступа; · функции ТСВ и интерфейс взаимодействия с ТСВ; · аппаратные, программные и специальные компоненты ТСВ; · множество параметров конфигурации ТСВ. | |
Изображение документа со списком, от него стрелки со знаками? к группе людей и группе документов. Степень детализации требований определяется множеством атрибутов сущностей, к которым применяются данные требования — либо ко всем атрибутам пользователей, субъектов или объектов, либо только к некоторому подмножеству этих атрибутов. | |
Изображение документа со списком над стрелками, входящими и выходящими из эллипса ТСВ. Функциональный состав средств защиты определяется множеством функций включенных в ТСВ для реализации той или иной группы функциональных требований. | |
Изображение эллипса ТСВ. На него светит солнце, затем нацеливается молния, эллипс мигает, молния пропадает, эллипс не мигает. Над эллипсом появляется облако, нацеливается молния, эллипс мигает и краснеет, молния пропадает, эллипс не мигает. Обеспечиваемый уровень безопасности определяется условиями, в которых функциональные компоненты ТСВ способны противостоять заданному множеству угроз, отказам и сбоям. | |
Независимое ранжирование функциональных требований по каждому из критериев не позволяет установить линейную шкалу оценки уровня безопасности. Значение требований и уровень обеспечиваемой ими защиты зависят от назначения ИТ-продукта и среды его эксплуатации. | |
8.5. Требования к технологии разработки ИТ-продукта | |
Изображение человека, от него стрелка к коробке с надписью «IT», над стрелкой – документ со списком. Основное назначение требований: · обеспечить адекватность условий разработки функциональным требованиям, выдвинутым в Профиле защиты, · установить ответственность разработчика за корректность реализации этих требований. | |
Рисуется верхняя часть схемы 2.6., т. е. Пишется Требования к технологии разработки, от них отходят 4 стрелки, указывающие на: · требования к процессу разработки, · к среде разработки, · к документированию · к сопровождению. | |
Пишется Требования к процессу разработки, от них отходят 4 стрелки, указывающие на: · Проектирование · Реализация · адекватность реализации ТСВ · Тестирование и анализ ИТ-продукта. | |
Изображение человека за компьютером. От компьютера стрелка к коробке с надписью «IT». На компьютер указывает стрелка от изображения документа со списком. Требования к среде разработки позволяют: · обеспечить качество процесса создания ИТ-продукта с помощью применения современных технологий проектирования, программирования и тестирования, · регламентируют управление процессом разработки · и дистрибуцию конечного продукта. | |
От коробки с надписью «IT» - стрелка к книжке. На стрелку к книжке указывает стрелка от документа со списком. Требования к документированию определяют состав и содержание технологической документации, позволяющей производителю ИТ-продукта доказать соответствие самого продукта и технологии его изготовления выдвинутым требованиям. | |
От изображения человека за компьютером – стрелка к коробке с надписью «IT». От коробки 3 стрелки к другим людям за компьютерами. Требования к сопровождению ИТ-продукта регламентируют · состав пользовательской и административной документации, · процедуру обновления версий и исправления ошибок, · инсталляцию продукта. | |
Выполнение требований к технологии разработки - необходимое условие для проведения квалификационного анализа. | |
8.6. Требования к процессу квалификационного анализа ИТ-продукта | |
СХЕМА 2.7 | |
8.7. Выводы | |
§ Впервые определены три независимые группы требований: · функциональные требования к средствам защиты, · требования к технологии разработки · к процессу квалификационного анализа. § Впервые предложена концепция Профиля защиты. § Вместо универсальной шкалы классов безопасности используется ранжирование требований каждой группы. | |
Конец лекции 7 | |
9. Канадские критерии безопасности компьютерных систем | |
9.1. Цель разработки | |
"Канадские критерии безопасности компьютерных систем" были разработаны в Центре безопасности ведомства безопасности связи Канады для использования в качестве национального стандарта безопасности компьютерных систем в 1993г. | |
Цели разработки: · Предложить единую шкалу критериев оценки безопасности компьютерных систем. · Создать основу для разработки спецификаций безопасных компьютерных систем. · Предложить унифицированный подход и стандартные средства для описания характеристик безопасных компьютерных систем. | |
9.2. Базовые концепции "Канадских критериев" | |
9.2.1 Объекты и субъекты | |
Все компоненты системы, находящиеся под управлением ТСВ называются объектами. Объекты могут находится в одном из следующих трех состояний: · объект-пользователь – обозначает пользователя · объект-процесс - обозначает процесс · пассивный объект – обозначает объект. | |
Пользователь - физическое лицо, взаимодействующее с компьютерной системой, имеет собственный уникальный идентификатор, права доступа, уровень привилегий. Процесс, или активный объект — программа, выполнение которой инициировано пользователем. Объект представляет собой пассивный элемент, над которым выполняют действия пользователи и процессы. Изображение человека, рядом с ним – ключ. От человека отходит 3 стрелки к прямоугольникам с подписями «Процесс». От процессов отходит по стрелке к кубику с подписями «Объект». Подпись под картинкой «Пользователь-процесс-объект». | |
СХЕМА 2.8 | |
9.2.2 Теги | |
Тег - совокупность атрибутов безопасности, ассоциированных с пользователем, процессом или объектом. В качестве тега пользователя, процесса или объекта могут выступать уникальный идентификатор, метка безопасности или целостности, криптографический ключ, таблица прав доступа или другие атрибуты. Изображение человека, рядом с ним – ключ. Изображение кубика с подписью «Объект», рядом с ним - документ со списком с галочками. | |
9.3. Основные положения и структура "Канадских критериев" | |
Требования безопасности представлены в виде: · функциональных требований к средствам защиты · требований к адекватности их реализации. | |
Изображена верхняя часть схемы 2.9. : От надписи Функциональные критерии: Идет 4 стрелки к надписям · Критерии конфиденциальности · Критерии целостности · Критерии работоспособности · Критерии аудита | |
Изображение человека, от него стрелка к компьютеру. Над стрелкой знак? От надписи Критерии конфиденциальности: Идет 4 стрелки к надписям · Контроль скрытых каналов · Произвольное управление доступом · Нормативное управление доступом · Повторное использование объектов Отражение угроз НСД. | |
Изображение кирпичной стены без некоторых кирпичей (или треснутой стены), изображение компьютера От надписи Критерии целостности Идет 7 стрелок к надписям · Домены целостности · Произвольное управление целостностью · Нормативное управление целостностью · Физическая целостность · Возможность осуществления отката · Разделение ролей · Самотестирование Отражение угроз целостности | |
По изображению компьютера ударяют молотком. Компьютер падает на бок, поднимается, мигает, затем не мигает. От надписи Критерии работоспособности Идет 4 стрелки к надписям · Контроль за распределением ресурсов · Устойчивость к отказам и сбоям · Живучесть · Восстановление Отражение угроз неработоспособности. | |
Изображение человека, от него стрелка к изображению компьютера. От этой стрелки отходит стрелка туда и обратно к открытой книге. От надписи Критерии аудита Идет 3 стрелки к надписям · Регистрация и учет событий в системе · Идентификация и аутентификация · Прямое взаимодействие с ТСВ. Отражение угроз фальсификации протоколов. | |
Изображение 3-4 страниц, на каждой из них в столбик цифры 2 1 0 Внутри каждой группы функциональных критериев определены уровни безопасности, отражающие возможности средств защиты по решению задач данного раздела. Уровни с большим номером обеспечивают более высокую степень безопасности. | |
Изображения человека и компьютера. Над ними изображена страница со знаком? Критерии адекватности определяют требования к процессу проектирования и разработки компьютерной системы. Рассматриваются без разделения на подгруппы. Уровень адекватность присваивается всей системе в целом. Более высокий уровень означает более полную и корректную реализацию политики безопасности. | |
Верх от схемы 2.10: От надписи Критерии адекватности Идут 6 стрелок к : · Архитектура системы · Среда разработки · Контроль процесса разработки · Поставка и сопровождение · Документация · Тестирование безопасности | |
Изображение одной книги, а справа от нее – стопка документов Приложения к «Канадским критериям» включают в себя: · описание предложенной концепции обеспечения безопасности информации, · руководства по применению функциональных критериев и критериев адекватности реализации · набор стандартных профилей защиты · ранжированный перечень функциональных критериев и критериев адекватности | |
9.4. Выводы | |
· В «Канадских критериях» впервые отделены функциональные требования к средствам защиты от требований адекватности политики безопасности. · В "Канадских критериях" используется независимое ранжирование требований по каждому разделу. · Уровень адекватности реализации политики безопасности характеризует качество всей системы в целом. | |
Конец лекции 8 | |
10 Единые критерии безопасности информационных технологий | |
10.1. Цель разработки | |
"Единые критерии безопасности информационных технологий" объединяют основные положения· "Европейских критериев безопасности информационных технологий",· "Федеральных критериев безопасности информационных технологий"· "Канадских критериев безопасности компьютерных систем".Были утверждены в 1999г. в качестве международного стандарта информационной безопасности. Изображение большой книги. На нее указывают стрелки от 3х книг поменьше. | |
"Единые критерии" удовлетворяют запросы трех группы специалистов:· потребителей продуктов информационных технологий,· производителей· экспертов по квалификации уровня их безопасности | |
В концепцию "Единых критериев" входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.СХЕМА 2.11 | |
10.2. Основные положения | |
Задачи защиты — выражает потребность потребителей ИТ-продукта в противостоянии заданному множеству угроз безопасности или в необходимости реализации политики безопасности. | |
Профиль защиты — специальный нормативный документ, представляющий собой совокупность:· Задач защиты,· функциональных требований,· требований адекватности· и их обоснования.Служит руководством для разработчика ИТ-продукта при создании Проекта защиты. | |
Проект защиты — специальный нормативный документ, представляющий собой совокупность:· Задач защиты,· функциональных требований,· требований адекватности,· общих спецификаций средств защиты· и их обоснования.В ходе квалификационного анализа служит в качестве описания ИТ-продукта. | |
Технологический цикл применения «Единых критериев»СХЕМА 2.12 | |
Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ-продукт в ходе квалификационного анализа. | |
Для проведения квалификационного анализа разработчик продукта должен представить: · Профиль защиты; · Проект защиты; · обоснования и подтверждения свойств и возможностей ИТ-продукта, полученные разработчиком; · ИТ-продукт; · дополнительные сведения, полученные путем проведения независимых экспертиз. | |
Процесс квалификационного анализа включает три стадии: ·Анализ Профиля защиты ·Анализ Проекта защиты. · Анализ ИТ-продукта на предмет соответствия Проекту защиты. Появляется изображение группы людей и подпись Потребители. Появляется изображение человека за компьютером и подпись Производители. Появляется изображение человека и очков и подпись Эксперты по квалификации и специалисты по сертификации. В центре слайда возникает изображение толстой книги (папки) и подпись Европейские критерии. От Потребителей, Производителей и Экспертов проводятся двунаправленные стрелки к Европейским критериям. | |
Изображение коробки с надписью «IT», над коробкой – лупа. От коробки идет стрелка к документу. Также к документу идут стрелки от 2х групп людей. Результат квалификационного анализа – заключение о том, что ИТ-продукт соответствует представленному Проекту защиты. Заключение состоит из нескольких отчетов, содержащих мнение экспертов по квалификации об ИТ-продукте на основании "Единых критериев". Отчеты могут использоваться как производителями, так и потребителями ИТ-продукта. | |
10.2.1. Профиль защиты | |
Изображение компьютера на фоне документа. Профиль защиты определяет требования безопасности к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью Профилей защиты потребители формулируют свои требования к производителям. | |
СХЕМА 2.13. Изображение только 1го уровня схемы, т. е. подразделение Профиля защиты на Введение, Идентификатор, … | |
Изображена часть СХЕМЫ 2.13: Введение и подразделение его на Идентификатор и Обзор содержания Введение - информация, необходимая для поиска Профиля защиты в библиотеке профилей. Идентификатор Профиля защиты - уникальное имя, пригодное для его поиска среди подобных ему профилей и обозначения ссылок на него. Обзор содержания - краткая аннотация Профиля защиты, на основании которой потребитель делает вывод о соответствии данного профиля его запросам. | |
Описание ИТ-продукта содержит краткую характеристику, функциональное назначение, принципы работы, методы использования и т. д. | |
Изображена часть СХЕМЫ 2.13: Среда эксплуатации и подразделение ее на Условия эксплуатации, Угрозы безопасности, … Условия эксплуатации - характеристика среды эксплуатации IT-продукта с точки зрения безопасности, ограничения на условия его применения. Угрозы безопасности. Описание угроз безопасности, действующих в среде эксплуатации, которым противостоит защита ИТ-продукта. Для каждой угрозы должен быть указан ее источник, метод и объект воздействия. Политика безопасности. Определение и объяснение правил политики безопасности, реализованной в ИТ-продукте. | |
Изображена часть СХЕМЫ 2.13: Задачи защиты и подразделение их на Задачи защиты IT-продукта , … Задачи защиты отражают потребности пользователей в противодействии указанным угрозам безопасности и реализации политики безопасности. | |
Изображена часть СХЕМЫ 2.13: Требования безопасности и подразделение их на Функциональные требования, … Функциональные требования - типовые требования, предусмотренные "Едиными критериями". Могут предписывать или запрещать использование конкретных методов и средств защиты. Требования адекватности - ссылки на типовые требования уровней адекватности "Единых критериев". Допустимо определение дополнительных требований адекватности. Требования к среде эксплуатации - необязательный раздел. Функциональные требования и требования адекватности к среде эксплуатации ИТ-продукта. | |
Дополнительные сведения — необязательный раздел. Полезная информация для проектирования, разработки, квалификационного анализа и сертификации ИТ-продукта. | |
Изображена часть СХЕМЫ 2.13: Обоснование и подразделение его на Обоснование задач защиты, … Обоснование демонстрирует, что: · Профиль защиты содержит полное и связное множество требований, · удовлетворяющий им ИТ-продукт будет эффективно противостоять угрозам безопасности среды эксплуатации. | |
Конец лекции 9 | |
10.2.2 Проект защиты | |
Изображение компьютера на фоне книги. Проект защиты: · содержит требования и задачи защиты ИТ-продукта, · описывает уровень функциональных возможностей реализованных в нем средств защиты, · обоснование средств защиты и подтверждение степени их адекватности. | |
СХЕМА 2.14 Только «левая часть» схемы 2.14, т. е. Проект Защиты, подразделяющийся на Введение, Описание ИТ-продукта, …. | |
Изображена часть СХЕМЫ 2.14: Введение и его подразделение Введение Идентификатор - уникальное имя Проекта защиты, необходимое для поиска и идентификации Проекта защиты и соответствующего ему ИТ-продукта. Обзор содержания - подробная аннотация Проекта защиты, позволяет потенциальным потребителям определить пригодность ИТ-продукта для решения их задач. Заявка на соответствие "Единым критериям" - описание всех свойств ИТ-продукта, подлежащих квалификационному анализу на основе "Единых критериев". | |
Изображена часть СХЕМЫ 2.14: Требования безопасности и подразделение их на Функциональные требования, … Функциональные требования к ИТ-продукту - раздел допускает использование не только типовых требований "Единых критериев", но и специфичных для данного продукта и среды его эксплуатации. При этом необходимо сохранять стиль "Единых критериев. Требования адекватности – раздел может включать уровни адекватности, не предусмотренные в "Единых критериях". Желательно использовать стиль и подробность описания, принятые в "Единых критериях" | |
Изображена часть СХЕМЫ 2.14: Общие спецификации ИТ-продукта и их подразделение Спецификации функций защиты - описание функциональных возможностей средств защиты ИТ-продукта, заявленные его производителем как реализующие требования безопасности. Спецификации уровня адекватности определяют заявленный уровень адекватности защиты ИТ-продукта и его соответствие требованиям адекватности. | |
Изображена часть СХЕМЫ 2.14: Заявка на соответствие Профилю защиты и ее подразделение Для каждого Профиля защиты, на реализацию которого претендует Проект защиты, этот раздел содержит: Ссылка на Профиль защиты однозначно идентифицирует Профиль защиты, на реализацию которого претендует Проект защиты. Соответствие Профилю защиты - возможности ИТ-продукта, которые реализуют задачи защиты и требования, содержащиеся в Профиле защиты. Усовершенствования Профиля защиты - возможности ИТ-продукта, которые выходят за рамки задач защиты и требований, установленных в Профиле защиты. | |
Изображена часть СХЕМЫ 2.14: Обоснование и ее подразделение Обоснование показывает что · Проект защиты содержит полное и связное множество требований, · реализующий его ИТ-продукт будет эффективно противостоять угрозам безопасности, · общие спецификации функций защиты соответствуют требованиям безопасности. Обоснование содержит подтверждение соответствия Профилю защиты. | |
10.4. Требования безопасности | |
Рисуется в виде схемки: Требования безопасности: · функциональные требования · требования адекватности. | |
10.4.1. Функциональные требования | |
Функциональные требования разбиты на классы; классы состоят из разделов.СХЕМА 2.15 | |
Изображена схема 2.15. От соответствующих ее элементов проводится линия и пишется описаниеНазвание и обозначение раздела. Каждый раздел имеет свое уникальное название и семисимвольный идентификатор, состоящий из префикса — трехбуквенного идентификатора класса, знака подчеркивания и трехбуквенного обозначения раздела. Используется для ссылок на раздел. | |
Изображена схема 2.15. От соответствующих ее элементов проводится линия и пишется описаниеРанжирование требований. Используется множество частных шкал ранжирования. Требования, стоящие в иерархии выше других включают в себя нижестоящие требования. Требования, не связанные отношениями иерархичности являются независимыми и могут быть использованы одновременно. | |
Структура, отображающая иерархию требований, имеет вид направленного графа:СХЕМА 2.16 как пример | |
Изображена схема 2.15. От соответствующих ее элементов проводится линия и пишется описаниеУправляемые параметры. Перечислены параметры, путем настройки которых осуществляется управление средствами защиты, реализующими требования данного раздела. | |
Изображена схема 2.15. От соответствующих ее элементов проводится линия и пишется описаниеОбъекты регистрации и учета. Перечислены операции и события, которые должны являться объектами регистрации и учета. | |
Изображена схема 2.15. От соответствующих ее элементов проводится линия и пишется описание (От Требований)Схема описания функционального требования: · Уникальное название требования - используется для ссылок на него в Профиле и Проекте защиты. · Содержание требования. Строго по "Единым критериям". · Сопряженные требования. Необязательный пункт. Список требований различных разделов и классов, выполнение которых - необходимое предварительное условие для реализации данного требования. | |
Таксономия классов функциональный требованийСХЕМА 2.17 | |
Конец лекции 10 | |
10.4.2. Требования адекватности | |
Требования адекватности "Единых критериев" регламентируют все этапы проектирования, создания и эксплуатации ИТ-продукта СХЕМА 2.21 Нарисована только «верхняя» часть схемы, т. е. деление Требований адекватности на требования к Управлению проектом, Дистрибуцией и т. д. | |
Ранжирование требований адекватности представлено в виде упорядоченных списков. Предложено семь стандартных уровней адекватности. Нарисовано 7 блоков, стоящих друг на друге. Блоки подписаны от Уровня 1 внизу до уровня 7 вверху. Расшифровка Уровней подписана у каждого блока справа, рядом с самим блоком. Сбоку рисуется стрелка снизу вверх с подписью «Рост требований адекватности» Расшифровки к уровням: Уровень 1. Функциональное тестирование. Уровень 2. Структурное тестирование. Уровень 3. Методическое тестирование и проверка. Уровень 4. Методическая разработка, тестирование и анализ. Уровень 5. Полуформальные методы разработки и тестирование. Уровень 6. Полуформальные методы верификации разработки и тестирование. Уровень 7. Формальные методы верификации разработки и тестирование.
| |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 1. Функциональное тестирование Угрозам безопасности не придается большого значения | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 2. Структурное тестирование Пользователи или разработчики согласны удовлетвориться низкой или умеренной степенью независимого подтверждения адекватности обеспечиваемого уровня безопасности. | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 3. Методическое тестирование Потребителям или пользователям требуются умеренная степень независимого подтверждения свойств ИТ-продукта, полное и последовательное исследование свойств продукта и контроль в процессе создания, Не требуется проведение обратного проектирования (re-engineering). | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 4. Уровень методической разработки, тестирования и анаЛиза Разработчики или пользователи требуют умеренную или высокую степень независимого подтверждения адекватности защиты ИТ-продукта и готовы нести определенные дополнительные технические затраты. | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 5. Полуформальные методы разработки и тестирование Разработчики или пользователи требуют высокой степени независимого подтверждения адекватности средств защиты, а также строгого применения определенных технологий разработки ИТ-продукта, но без чрезмерных затрат. | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 6. Полуформальные методы верификации, разработки и тестирование Применяются при разработке защищенных продуктов, предназначенных для использования в ситуациях с высокой степенью риска, где ценность защищаемой информации оправдывает дополнительные затраты. | |
Те же блоки остаются. Подписан только рассматриваемый уровень, от него рисуется линия, у линии появляется текст: Уровень 7. Формальные методы верификации, разработки и тестирование Разработка защищенных продуктов, предназначенных для использования в ситуациях с исключительно высокой степенью риска. Ценность защищаемых объектов оправдывает высокие дополнительные затраты. | |
10.7. Выводы | |
· "Единые критерии безопасности информационных технологий" - результат обобщения всех достижений последних лет в области информационной безопасности. · Требования "Единых критериев содержат все необходимые потребителям и разработчикам материалы для формирования Профилей и Проектов защиты. · Требования "Единых критериев" - практически всеобъемлющая энциклопедия информационной безопасности · Достигнут межгосударственный уровень стандартизации информационных технологий. | |
11. Анализ стандартов информационной безопасности | |
В центре слайда – надпись Стандарты информационной безопасности и картинка в виде толстой папки. Появляется изображение группы людей и подпись Потребители. Появляется изображение человека за компьютером и подпись Производители. Появляется изображение человека и очков и подпись Эксперты по квалификации и специалисты по сертификации. От потребителей, производителей, экспертов к стандартам идут стрелки. Над стрелкой от потребителей написано: Простота критериев, Гибкость требований Над стрелкой от производителей написано: Максимальная конкретность, Совместимость с современными архитекурами Над стрелкой от экспертов написано: Квалификационный анализ, четкость и однозначность критериев. | |
Схема. От надписи Показатели сопоставления стандартов информационной безопасности отходит 5 стрелок к пунктам универсальность, гибкость, гарантированность, реализуемость, актуальность | |
На схеме более крупно выделяется Универсальность Выводится текст: - определяется множеством типов ВС и областью информационных технологий, к которым могут быть корректно применены положения стандарта. | |
На схеме более крупно выделяется Гибкость Выводится текст: возможность и удобство применения стандарта к постоянно развивающимся информационным технологиям и время его "устаревания". | |
На схеме более крупно выделяется Гарантированность Выводится текст: определяется мощностью предусмотренных стандартом методов и средств подтверждения надежности результатов квалификационного анализа. | |
На схеме более крупно выделяется Реализуемость Выводится текст: это возможность адекватной реализации требований и критериев стандарта на практике, с учетом затрат на этот процесс. | |
На схеме более крупно выделяется Актуальность Выводится текст: отражает соответствие требований и критериев стандарта постоянно развивающемуся множеству угроз безопасности и новейшим методам и средствам, используемым злоумышленниками. | |
ТАБЛИЦА 2.5 Таблица рисуется построчно, и желательно, чтобы ячейки заполнялись последовательно – чтобы было время и внимание разглядеть, как отвечает каждый из стандартов какому показателю. | |
Выводы · Единая шкала ранжирования требований и критериев в ходе развития стандартов была заменена множеством независимых частных показателей и частично упорядоченными шкалами. · Неуклонное возрастание роли требований адекватности реализации зашиты и политики безопасности свидетельствует о тенденции преобладания "качества" обеспечения защиты над ее "количеством". · Современные тенденции интеграции информационных технологий и стремление к созданию безопасного всемирного информационного пространства привели к необходимости интернационализации стандартов информационной безопасности. |
