- •Содержание
- •Введение
- •1. Понятие защищенной телекоммуникационной системы
- •1.1. Обобщенная структурно-функциональная схема ткс
- •1.2. Понятие информации
- •1.3. Понятие информационной безопасности
- •1.4. Обзор рекомендаций iso 7498-2
- •1.5. Обзор требований Руководящих документов гтк рф
- •1.6. Обзор стандарта иso/iec 15408-1-99
- •Часть 2 стандарта включает универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
- •2. Основы криптографической защиты телекоммуникаций
- •2.1. Основы теории информации
- •Вопрос 1
- •Вопрос 2
- •2.2. Модель криптозащищенной ткс
- •2.3. Теоретическая оценка криптозащищенности ткс
- •2.4. Практическая оценка криптозащищенности ткс
- •3. Основы теории надежности
- •3.1. Основные понятия теории надежности
- •3.2. Важнейшие распределения наработки.
- •3.3. Методы статистического оценивания наработки по результатам испытаний.
- •Литература.
1.6. Обзор стандарта иso/iec 15408-1-99
Стандарт ISO/IEC15408-1-99 «Общие критерии оценки безопасности информационных технологий» («Общие критерии» или ОК) является качественно новым этапом в развитии нормативной базы оценки безопасности информационных технологий. Стандарт представляет собой методологию исследования свойств безопасности изделия или системы информационных технологий (ИТ), называемых в стандарте объектами оценки.
При этом выделяются три группы пользователей с общим интересом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей.
Потребители могут использовать оценку, чтобы решить, выполняет ли оцененное изделие или система требования по безопасности. ОК играют важную роль при задании потребителем функциональных требований к безопасности ИТ. ОК содержат также требования гарантии оценки, поскольку это - одна из главных целей. Потребители могут использовать оценку, чтобы сравнивать различные изделия или системы. ОК дают Потребителям, особенно группам Потребителей с общим интересом, возможность использования предопределенной структуры требований, названной профилем защиты, чтобы выразить их специальные требования к объекту оценки для обеспечения безопасности ИТ.
ОК помогают Разработчикам при подготовке к оценке и оценке их изделий или систем. разработчики могут идентифицировать те требования, которые будут удовлетворены их изделием или системой, стремясь к тому, чтобы объект оценки (ОО) соответствовал функциональным требованиям безопасности и требованиям гарантии оценки. Эти требования содержатся в зависимо выполняемой структуре, названной заданием по безопасности. Разработчики могут использовать ОК, чтобы определить свои обязанности и действия при оценке объекта. ОК описывают действия, которые Разработчик должен выполнить, и определяют содержание результатов оценки.
ОК содержат критерии, которые нужно использовать Оценщикам при формировании заключений относительно соответствия объектов оценки требованиям безопасности. ОК описывают набор общих действий, которые Оценщик должен выполнить, но не определяют процедуры, которые нужно использовать при выполнении этих действий. Документ с методиками оценки должен дополнить ОК в этой области.
ОК могут быть полезны в качестве рекомендаций и для других групп пользователей, интересующихся или отвечающих за безопасность ИТ, например: служащим охраны, отвечающим за организационные вопросы безопасности ИТ; внутренним и внешним ревизорам, отвечающим за адекватность оценки мер безопасности системы; идеологам безопасности и проектировщикам, отвечающим за спецификацию мер безопасности системы или изделия.
ОК представлены как совокупность относительно самостоятельных, но взаимосвязанных частей.
Часть 1 стандарта включает методологию оценки безопасности ИТ, определяет виды требований безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).