Please enable JavaScript.

Coggle requires JavaScript to display documents.

Стандарты обеспечения компьютерной безопасности в России, Критерии…

- - - - «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»;
        
        «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
        
        «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».
  - - - система обнаружения вторжений;
        
        средство антивирусной защиты;
        
        средство доверенной загрузки;
        
        средство контроля съемных машинных носителей информации;
        
        межсетевой экран;
        
        операционная система.
  - - - документ «Требования …»: документ имеет пометку «для служебного пользования» и определяет классы и типы для отдельного типа изделий;
        .
      - профили защиты, определяющие номенклатуру функциональных требований безопасности и требования доверия к безопасности в зависимости от типа и класса изделия.
- - - - ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
      - ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
      - ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
      - ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
      - ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
      - ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
      - ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности.
- - - - FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
        
        FIA — идентификация и аутентификация;
        
        FRU — использование ресурсов (для обеспечения отказоустойчивости).
    - - FCO — связь (безопасность коммуникаций отправитель-получатель);
        
        FPR — приватность;
        
        FDP — защита данных пользователя;
        
        FPT — защита функций безопасности объекта оценки.
    - - FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
        
        FMT — управление безопасностью;
        
        FTA — доступ к объекту оценки (управление сеансами работы пользователей);
        
        FTP — доверенный маршрут/канал;
  - - - ADV — разработка, проектирование объекта;
        
        ALC — поддержка жизненного цикла;
        
        ACM — управление конфигурацией;
        
        AGD — руководство администратора и пользователя;
        
        ATE — тестирование;
        
        AVA — оценка уязвимостей;
        
        ADO — требования к поставке и эксплуатации;
        
        АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.
    - - ASE — оценка задания по безопасности
        
        APE — оценка профиля защиты;
        .
- - - - Маркирование — системы, предназначенные для обязательной мандатной политики безопасности, должны предоставлять и сохранять целостность меток управления доступом, а также хранить метки, если объект перемещён.
  - - - Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы.
        Сюда относятся системная архитектура,
        целостность системы
        анализ скрытых каналов
        безопасное управление возможностями
        и безопасное восстановление.
      - Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жёстко контролируемыми критериями функционирования.
        Сюда относятся тестирование безопасности,
        задание на проектирование и его проверка,
        управление настройками
        соответствие параметров системы заявленным.
  - - - Мандатная политика безопасности — обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Другие косвенные факторы являются существенными и окружающими. Эта политика также должна точно соответствовать закону, главной политике и прочим важным руководствам, в которых устанавливаются правила.
      - Дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.
    - - Авторизация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
      - Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.
      - Аутентификация — процесс, используемый для распознавания индивидуального пользователя.
- - - - D – минимальная защита;
        
        D – минимальная защита – системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов;
      - C – индивидуальная защита;
        
        C1 – защита, основанная на индивидуальных мерах, – системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т.е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности;
        
        C2 – защита, основанная на управляемом доступе, – системы, осуществляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям;
      - B – мандатная защита;
        
        В1 – защита, основанная на присваивании имен отдельным средствам безопасности, – системы, располагающие всеми возможностями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным (включающим и выдаваемым за пределы системы) и средства мандатного управления доступом ко всем поименованным субъектам и объектам;
        
        В2 – структурированная защита – системы, построенные на основе ясно определенной формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы;
        
        В3 – домены безопасности – системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений. Объем монитора должен быть небольшим с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены: сигнализация о всех попытках несанкционированных действий и восстановление работоспособности системы;
      - A – верифицированная защита.
        
        А1 – верифицированный проект – системы, функционально эквивалентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение должности администратора безопасности.