Please enable JavaScript.
Coggle requires JavaScript to display documents.
Критерии безопасности компьютерных систем - Coggle Diagram
Критерии безопасности компьютерных систем
Критерий- "Оранжевая книга"
"Базовые требования безопасности" :!:
Требование 1. Политика безопасности.
Требование 2. Метки.
Требование 3. Идентификация и аутентификация.
Требование 4. Регистрация и учет.
Требование 5. Контроль корректности функционирования средств защиты.
Требование 6. Непрерывность защиты.
Критерии и классы безопасности
1 Класс- D – минимальная защита – системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов;
2 Класс- C1 – защита, основанная на индивидуальных мерах, – системы, обеспечивающие разделение пользователей и данных. Позволяют пользователям иметь надежную защиту их информации и не дают другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности;
3 Класс- C2 – защита, основанная на управляемом доступе, – системы, осуществляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям;
4 Класс -В1 – защита, основанная на присваивании имен отдельным средствам безопасности
5 Класс-В2 – структурированная защита – системы, построенные на основе ясно определенной формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы;
6 Класс- В3 – домены безопасности – системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений.
7 Класс-А1 – верифицированный проект – системы, функционально эквивалентные системам класса В3, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение должности администратора безопасности.
Выделяют 4 группы критериев
.
D – минимальная защита;
C – индивидуальная защита;
B – мандатная защита;
A – верифицированная защита.
Стандарты обеспечения компьютерной безопасности в России
Общие критерии безопасности
Требования к следующим типам средств защиты информации
.
система обнаружения вторжений;
средство антивирусной защиты;
средство доверенной загрузки;
средство контроля съемных машинных носителей информации;
межсетевой экран;
операционная система.
Основные положения стандарта по компьютерной безопасности
Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.
.
Первая группа определяет элементарные сервисы безопасности:
FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
FIA — идентификация и аутентификация;
FRU — использование ресурсов (для обеспечения отказоустойчивости).
Вторая группа описывает производные сервисы, реализованные на базе элементарных:
FCO — связь (безопасность коммуникаций отправитель-получатель);
FPR — приватность;
FDP — защита данных пользователя;
FPT — защита функций безопасности объекта оценки.
Третья группа классов связана с инфраструктурой объекта оценки:
FCS — криптографическая поддержка (обеспечивает управление криптоключами и крипто-операциями);
FMT — управление безопасностью;
FTA — доступ к объекту оценки (управление сеансами работы пользователей);
FTP — доверенный маршрут/канал;
Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.
.
Первая группа содержит классы требований, предшествующих разработке и оценке объекта:
APE — оценка профиля защиты;
ASE — оценка задания по безопасности.
Вторая группа связана с этапами жизненного цикла объекта аттестации:
ADV — разработка, проектирование объекта;
ALC — поддержка жизненного цикла;
ACM — управление конфигурацией;
AGD — руководство администратора и пользователя;
ATE — тестирование;
AVA — оценка уязвимостей;
ADO — требования к поставке и эксплуатации;
АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.
Государственные
стандарты России
.
ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК ТО 15446-2008 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности.