Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Nперша спроба створити єдиний стандарт безпеки, що розрахований на розробників, споживачів і спеціалістів із сертифікації КССодержание книги
Поиск на нашем сайте
NОрієнтований на системи спеціального (військового) застосування, головним чином на операційні системи (домінують вимоги з конфіденційності) NКритерії гарантій реалізації засобів захисту і адекватності політики безпеки розроблені недостатньо NОцінка системи зводиться до перевірки виконання вимог одного з наперед визначених класів. Шкала класів є ієрархічною ITSEC – Європейські критерії NInformation Technology Security Evaluation Criteria. Harmonized Criteria Of France-Germany-Netherlands-United Kingdom. – Department of Trade and Industry. – London, 1991. n NВідмова від єдиної універсальної шкали ступеня захищеності NВперше введено поняття гарантій (assurance) засобів захисту ¨Ефективність – відповідність між задачами захисту і реалізованим набором функцій (повнота і узгодженість) ¨Коректність – правильність і надійність реалізації функцій NДодаткові вимоги з безпеки обміну даними ITSEC – класи безпеки n F-C1, F-C2, F-B1, F-B2, F-B3 – відповідають TCSEC n F-IN – підвищені вимоги до забезпечення цілісності (СКБД) n F-AV – підвищені вимоги до забезпечення працездатності (системи реального часу) n F-DI – розподілені системи з підвищеними вимогами до цілісності n F-DC – розподілені системи з підвищеними вимогами до конфіденційності n F-DX – розподілені системи з підвищеними вимогами до конфіденційності, цілісності і неможливості відмови від авторства ITSEC – критерії гарантій NКритерії ефективності ¨Відповідність набору засобів захисту заданим цілям ¨Взаємна узгодженість різних засобів і механізмів захисту ¨Здатність засобів захисту протистояти атакам ¨Можливість практичного використання недоліків архітектури засобів захисту ¨Простота використання засобів захисту ¨Можливість практичного використання функціональних недоліків засобів захисту NКритерії коректності ¨Процес розроблення NСпецифікація вимог безпеки NРозроблення архітектури NСтворення робочого проекту NРеалізація ¨Середовище розроблення NЗасоби керування конфігурацією NВикористовувані мови програмування і компілятори NБезпека середовища розроблення ¨Експлуатаційна документація NНастанова користувача NНастанова адміністратора ¨Середовище експлуатації NДоставка і встановлення NЗапуск и експлуатація Висновки по ITSEC NГоловне досягнення – введення поняття гарантій захисту і визначення окремої шкали для критеріїв гарантій NВідмова від єдиної ієрархічної шкали оцінювання систем NITSEC тісно пов'язані з TCSEC (не повністю самостійний документ) NВизнання можливості наявності недоліків у сертифікованих системах і введення критерію можливості використання недоліків захисту FCITS – «Федеральні критерії»: мета розробки nFederal Criteria for Information Technology Security. – National Institute of Standards and Technology & National Security Agency. Version 1.0, 1992. n NВизначення універсального й відкритого для подальшого розвитку набору основних вимог безпеки, що висувають до сучасних інформаційних технологій NУдосконалення існуючих вимог і критеріїв безпеки NУзгодження між собою вимог і критеріїв безпеки інформаційних технологій, що прийняті у різних країнах NНормативне закріплення головних принципів інформаційної безпеки FCITS – етапи розроблення продукту ІТ NРозроблення і аналіз профілю захисту ¨Вимоги, що викладені у профілі захисту, визначають функціональні можливості продуктів ІТ із забезпечення безпеки і умови експлуатації, за дотримання яких гарантується відповідність висунутим вимогам ¨Профіль захисту аналізують на повноту, несуперечність і технічну коректність NРозроблення і кваліфікаційний аналіз продуктів ІТ ¨Розроблені продукти ІТ піддають незалежному аналізу, мета якого – визначення ступеня відповідності характеристик продукту вимогам профілю захисту NКомпонування і сертифікація системи оброблення інформації в цілому ¨Отримана в результаті система повинна задовольняти вимогам, що заявлені у профілі захисту FCITS – структура профілю захисту NОпис ¨Класифікаційна інформація, що необхідна для ідентифікації профілю у спеціальній картотеці NОбґрунтування ¨Опис середовища експлуатації, загроз безпеці, що передбачаються, і методів використання продукту ІТ NФункціональні вимоги до продукту ІТ NВимоги до технології розроблення продукту ІТ NВимоги до процесу кваліфікаційного аналізу продукту ІТ FCITS – функціональні вимоги NРеалізація політики безпеки ¨Політика аудита NІдентифікація і автентифікація NРеєстрація в системі NЗабезпечення прямої взаємодії з КЗЗ NРеєстрація і облік подій ¨Політика керування доступом NДискреційне керування доступом NМандатне керування доступом NКонтроль прихованих каналів ¨Політика забезпечення працездатності NКонтроль за розподілом ресурсів NЗабезпечення стійкості до відмов ¨Керування безпекою NМоніторинг взаємодій NЛогічний захист КЗЗ NФізичний захист КЗЗ NСамоконтроль КСЗ NІніціалізація і відновлення КЗЗ NОбмеження привілеїв під час роботи з КЗЗ NПростота використання КЗЗ FCITS – Вимоги до технології розробки NПроцес розроблення ¨Визначення множини функцій КЗЗ у відповідності до функціональних вимог ¨Реалізація КЗЗ NВизначення складу функціональних компонент КЗЗ NВизначення інтерфейсу КЗЗ NДекомпозиція КЗЗ на функціональні модулі NСтруктуризація КЗЗ на домени безпеки NМінімізація функцій і структури КЗЗ ¨Гарантії реалізації КЗЗ ¨Тестування і аналіз КЗЗ NТестування функцій КЗЗ NАналіз можливостей порушення безпеки NАналіз прихованих каналів NСередовище розробки ¨Інструментальні засоби ¨Засоби керування процесом розроблення ¨Процедура дистрибуції NДокументування ¨Документування функцій КЗЗ ¨Повна документація на продукт ІТ (інтерфейси, компоненти, модулі, структура КЗЗ, методика проектування, вихідні тексти і специфікація апаратних засобів) ¨Документування тестування і аналізу продукту ІТ NДокументування процесу тестування функцій NДокументування аналізу можливостей порушення безпеки NДокументування аналізу прихованих каналів ¨Документування середовища і процесу розроблення NСупроводження ¨Документація користувача ¨Настанова з адміністрування системи безпеки ¨Процедура оновлення версій і виправлення помилок ¨Процедура інсталяції FCITS – Вимоги до процесу кваліфікаційного аналізу NАналіз ¨Аналіз архітектури ¨Аналіз реалізації NКонтроль ¨Контроль середовища розроблення ¨Контроль процесу супроводження продукту ІТ NТестування ¨Тестування функцій КЗЗ виробником ¨Незалежне тестування функцій КЗЗ FCITS – Висновки NВперше запропонована концепція профілю захисту NУ стандарті визначені три незалежні групи вимог NФункціональні вимоги безпеки добре структуровані NВимоги до технології розроблення змушують виробників застосовувати сучасні технології програмування, що дозволяють підтвердити безпеку продукту NВимоги до процесу кваліфікаційного аналізу узагальнені і не містять конкретних методик NВідсутня загальна оцінка рівня безпеки за допомогою універсальної шкали, запропоновано незалежне ранжирування вимог кожної групи Лекція 5. Нормативні документи системи ТЗІ в Україні НД ТЗІ з питань захисту інформації в КС від НСД NЗагальні положення із захисту інформації в комп'ютерних системах від несанкціонованого доступу (НД ТЗІ 1.1-002-99) NТермінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу (НД ТЗІ 1.1-003-99) NКритерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу (НД ТЗІ 2.5-004-99) NКласифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу (НД ТЗІ 2.5-005-99)
|
||||
Последнее изменение этой страницы: 2016-09-13; просмотров: 160; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.141.12.236 (0.007 с.) |