реклама
ЭКСПЕРТИЗА САЙТОВ НА СЛИВ ИНФОРМАЦИИ

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ
уход за растениями - озеленение - фитодизайн
реклама

proxy  статьи  библиотека  softice  free_юр.консультация  hard  iptv
рекламодателям  фирмы/add  расшифровка штрих-кодов  links/add

http://kiev-security.org.ua

Содержание

О руководстве по разработке профилей защиты на основе общих критериев (М Кобзарь, А Сидак)

Введение

В статье приводится обзор основных положений Руководства по разработке профилей защиты и заданий по безопасности, подготовленного Международной организацией по стандартизации (ISO) в развитие требований к Профилям защиты и Заданиям по безопасности, содержащихся в стандарте ISO/IEC 15408. Кроме того, в статье описаны назначение, структура и краткое содержание Руководства.

Принятие в июне 1999 года международного стандарта по критериям оценки безопасности информационных технологий (исторически сложившееся название - Общие критерии) [2], [3], [4] послужило мощным толчком к широкому использованию Общих критериев при разработке профилей защиты различных типов продуктов и систем информационных технологий (ИТ).

Понятие профиля защиты и его назначение

Общие критерии (ОК) представляют собой хорошо структурированную, универсальную библиотеку требований безопасности, сформулированных в весьма общем виде [1]. Их специализация и конкретизация осуществляется в двух основных конструкциях, определенных в ОК: профилях защиты (ПЗ) и заданиях по безопасности (ЗБ).

Профили защиты являются дальнейшим развитием классов защищенности Оранжевой книги и хорошо известных Руководящих документов (РД) Гостехкомиссии России. Но, в отличие от их жесткой классификационной схемы, число профилей защиты не ограничено. Они содержат более полный, целенаправленный и обоснованный набор требований безопасности, учитывающий назначение, угрозы безопасности и условия применения объекта оценки (ОО).

Профиль защиты предназначен для сертификации средств защиты информации продуктов и систем ИТ и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия ИТ.

В настоящее время в России готовится проект государственного стандарта на основе аутентичного перевода текста стандарта ISO/IEC 15408. Параллельно в ряде организаций ведется разработка профилей защиты продуктов и систем ИТ различного назначения.

В этих условиях необходима единая методология создания и использования подобных нормативных документов.

В известном смысле можно утверждать, что профили защиты важнее самого стандарта ISO/IEC 15408. Данный стандарт по сути является метасредством, инструментом, предназначенным для разработки нормативных документов, позволяющих оценивать средства безопасности определенных классов или информационные системы определенного назначения. Именно эти нормативные документы, а не сам стандарт, способны найти практическое применение, обеспечить соответствие законодательного и технического аспектов информационной безопасности.

Практически все выпущенные ранее РД Гостехкомиссии России (от классификации средств вычислительной техники до критериев оценки межсетевых экранов) целесообразно переформулировать в виде профилей защиты, параллельно актуализировав их (Руководящих документов) содержание. Новые РД, на наш взгляд, с самого начала должны разрабатываться на основе стандарта ISO/IEC 15408. Подобные шаги сделали бы перспективы вхождения России в международные системы сертификации, а также заключения соглашений о взаимном признании сертификатов вполне реальными. В свою очередь, наличие таких соглашений лучше соответствовало бы реальному положению дел в России в области информационных технологий вообще и информационной безопасности в частности.

Назначение, структура и краткое содержание Руководства

В силу перечисленных выше причин, появление проекта Руководства по разработке профилей защиты и заданий по безопасности (далее - Руководство) [5], в котором развиваются и разъясняются основные требования к Профилям и Заданиям, изложенные в стандарте ISO 15408, является весьма актуальным.

Руководство, прежде всего, адресовано тем, кто участвует в процессе разработки Профилей и Заданий. Оно, вероятно, будет полезно и для оценщиков, применяющих Профили и Задания на практике.

Рассматриваемый документ представляет собой детальное руководство по разработке различных частей Профилей и Заданий (изложенное в главах 1-11) и дает исчерпывающее представление об их взаимосвязи. Наиболее важные аспекты Руководства представлены в Приложении A в виде памятки, что в значительной степени облегчает знакомство и работу с документом. В приложениях приводятся примеры, иллюстрирующие применение Руководства.

Глава 1 посвящена целям и направленности Руководства. Глава 2 содержит краткий обзор ПЗ и ЗБ, который включает примерные оглавления и отображает предполагаемое содержание, а также потенциальных пользователей различных частей Профилей и Заданий. В этой главе также обсуждаются соотношение между ПЗ и ЗБ и проблемы, связанные с процессом их разработки.

В Главе 3 более глубоко рассматриваются описательные части Профилей и Заданий.

Следующие пять глав придерживаются структуры Профилей и Заданий, установленной в стандарте ISO 15408.

Глава 4 представляет собой руководство по определению безопасности окружения объекта оценки. Глава 5 служит руководством по определению и спецификации целей безопасности в соответствии со сформулированными ранее исходными "потребностями".

Глава 6 - это руководство по выбору и спецификации требований безопасности информационных технологий в ПЗ. В этой главе подробно описывается использование функциональных компонентов [3] и компонентов гарантии [4], а также компонентов, не предусмотренных ISO 15408, для обеспечения более точного определения требований безопасности ИТ.

Глава 7 представляет собой руководство по разработке заданий по безопасности.

Главы 8 и 9 являются руководствами по составлению и представлению разделов "Обоснование" в ПЗ и ЗБ.

В главе 10 рассматриваются проблемы разработки ПЗ и ЗБ для сложных объектов оценки, то есть объектов, состоящих из двух или более компонентов, для каждого из которых имеются собственные Профили и Задания.

Глава 11 представляет собой руководство по формированию функциональных пакетов и пакетов гарантии, причем таким образом, чтобы их можно было многократно использовать при разработке различных Профилей и Заданий. Пакет при этом рассматривается как потенциально полезный инструмент, предназначенный для облегчения процесса разработки ПЗ/ЗБ.

Как упоминалось выше, Приложение A резюмирует Руководство в виде памятки. Приложение B представляет примеры угроз, политики безопасности организации, предположений и целей безопасности, а также устанавливает соответствие между общими функциональными требованиями и соответствующими функциональными компонентами из Части 2 стандарта ISO 15408 [3].

Приложение C представляет собой руководство по разработке ПЗ и ЗБ объектов оценки, обладающих криптографическими функциональными возможностями.

В Приложениях D, E и F иллюстрируются возможности применения Руководства при разработке ПЗ и ЗБ для различных объектов оценки. Так, в Приложении D рассмотрена возможность использования Руководства применительно к межсетевым экранам.

В Приложении E рассмотрен подход к разработке ПЗ для СУБД. Здесь особое внимание обращается на взаимодействие СУБД с операционной системой, под управлением которой она работает.

Наконец, Приложение F посвящено вопросам разработки Профилей для доверенного центра (ДЦ), являющегося центральным звеном в инфраструктуре с открытыми ключами и организующего работу с цифровыми сертификатами [6]. В Руководстве предлагается интересный подход к формированию ПЗ и ЗБ для ДЦ, учитывающий множество возможных комбинаций дополнительных услуг, предоставляемых конкретным ДЦ, наряду с неизменным набором основных услуг. Подход предусматривает формирование базового набора функциональных требований безопасности, необходимых для обеспечения безопасности основных услуг ДЦ, и дополнительных функциональных пакетов.

Заключение

В настоящее время в России и других странах СНГ Общим критериям уделяется много внимания. Пишутся статьи, готовятся к публикации книги. Хотелось бы, чтобы внедрение и освоение нового международного стандарта не стало формальной процедурой, не подкрепленной реальными изменениями в системах сертификации и аттестации. На наш взгляд, принятие Общих критериев должно стать первым звеном в цепи обновления нормативной базы информационной безопасности в России, освоения новых понятий разработчиками, оценщиками и пользователями информационных систем, движения России в сторону общепризнанных международных норм информационной безопасности.

Профили защиты - это применимые на практике результаты использования Общих критериев. Вот почему появление Руководства по разработке профилей защиты и заданий по безопасности представляется весьма важным, а его освоение - абсолютно необходимым.

Литература

  1. М. Кобзарь , И. Калайда - Общие критерии оценки безопасности информационных технологий и перспективы их использования. - Jet Info, 1, 1998
  2. Evaluation Criteria for IT Security. Part 1: Introduction and general model. - ISO/IEC 15408-1: 1999, 1999
  3. Evaluation Criteria for IT Security. Part 2: Security functional requirements. - ISO/IEC 15408-2: 1999, 1999
  4. Evaluation Criteria for IT Security. Part 3: Security assurance requirements. - ISO/IEC 15408-3: 1999, 1999
  5. Guide for Production of Protection Profiles and Security Targets. - ISO/JTC1/SC27/N2449. DRAFT v0.9, January 2000
  6. В. Горбатов , О. Полянская - Доверенные центры как звено системы обеспечения безопасности корпоративных информационных ресурсов. - Jet Info, 11, 1999

2000

Содержание

HOME


Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:

<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a>

Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2022,