Please enable JavaScript.

Coggle requires JavaScript to display documents.

Критерии безопасности компьютерных систем. «Оранжевая книга», Стандарты…

- - - - Аутентификация — процесс, используемый для распознавания индивидуального пользователя.
      - Авторизация — проверка разрешения индивидуальному пользователю на получение информации определённого рода.
      - Аудит — контролируемая информация должна избирательно храниться и защищаться в мере, достаточной для отслеживания действий аутентифицированного пользователя, затрагивающих безопасность.
  - - - Механизмы гарантий. Операционная гарантия — уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.
        
        Гарантия жизненного цикла — уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жёстко контролируемыми критериями функционирования.
      - Гарантии непрерывной защиты — надёжные механизмы, обеспечивающие непрерывную защиту основных средств от преступных и/или несанкционированных изменений.
- - - - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов;
    - - C1 – защита, основанная на индивидуальных мерах, – системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т.е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности;
      - C2 – защита, основанная на управляемом доступе, – системы, осуществляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям;
    - - В1 – защита, основанная на присваивании имен отдельным средствам безопасности, – системы, располагающие всеми возможностями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным (включающим и выдаваемым за пределы системы) и средства мандатного управления доступом ко всем поименованным субъектам и объектам;
      - В2 – структурированная защита – системы, построенные на основе ясно определенной формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы;
      - В3 – домены безопасности – системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений. Объем монитора должен быть небольшим с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены: сигнализация о всех попытках несанкционированных действий и восстановление работоспособности системы;
    - - А1 – верифицированный проект – системы, функционально эквивалентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение должности администратора безопасности.
- - - - FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
      - FIA — идентификация и аутентификация;
      - FRU — использование ресурсов (для обеспечения отказоустойчивости).
    - - FCO — связь (безопасность коммуникаций отправитель-получатель);
      - FPR — приватность;
      - FDP — защита данных пользователя;
      - FPT — защита функций безопасности объекта оценки.
    - - FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
      - FMT — управление безопасностью;
      - FTA — доступ к объекту оценки (управление сеансами работы пользователей);
      - FTP — доверенный маршрут/канал;
  - - - APE — оценка профиля защиты;
      - ASE — оценка задания по безопасности.
    - - ADV — разработка, проектирование объекта;
      - ALC — поддержка жизненного цикла;
      - ACM — управление конфигурацией;
      - AGD — руководство администратора и пользователя;
      - ATE — тестирование;
      - AVA — оценка уязвимостей;
      - ADO — требования к поставке и эксплуатации
      - АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.