- •Объект оценки.
- •Структура требований доверия.
- •Классы, семейства, компоненты и элементы требований.
- •Назначение функциональных требований и требований доверия.
- •Развитие критериев оценки безопасности информационных технологий от tcsec к сс.
- •Основные концептуальные положения ок.
- •Назначение. Пользователи.
- •Зависимости между требованиями.
- •Структура и состав ок.
- •Часть 1 "Введение и общая модель" является введением в ок. В ней определяются общие принципы и концепции оценки безопасности ит и приводится общая модель оценки.
- •Состав и содержание профиля защиты.
- •Состав и содержание задания по безопасности.
- •Сходство и различие между профилем защиты и заданием по безопасности.
- •Функциональные требования.
- •Требования доверия.
- •Оценочные уровни доверия.
- •Структура функциональных требований.
- •Различия между «ок» и рд гостехкомиссии россии.
- •Классы функциональных требований.
- •Классы требований доверия.
- •Подходы к заданию требований безопасности информации требований в рд и ок.
Объект оценки.
Продукт или система ИТ и связанная с ними документация руководств, являющиеся предметом оценки (программные, программно-аппаратные средства, прилагающиеся к ним бумажки, всякие СУБД – в общем все то что не АС)
Структура требований доверия.
Требования доверия разделены на 10 классов, 44 семейств и 93 компонента. Классы можно сгруппировать в зависимости от охватываемых этапов жизненного цикла изделий ИТ. Каждое требование (элемент) доверия принадлежит одному из трех типов:
элементы действий разработчика (помечаются буквой "D" после номера элемента); эти действия должны подтверждаться доказательным материалом (свидетельствами);
элементы представления и содержания свидетельств (помечаются буквой "C");
элементы действий оценщика (помечаются буквой "E"); оценщики обязаны проверить представленные разработчиками свидетельства, а также выполнить необходимые дополнительные действия (например, провести независимое тестирование).
Классы, семейства, компоненты и элементы требований.
Класс: группа семейств, объединенных общим назначением
Семейство: Группа компонентов, которые направлены на достижение одних и тех же целей безопасности, но могут отличаться акцентами или строгостью.
Компонент: Наименьшая выбираемая совокупность элементов, которая может быть включена в ПЗ, ЗБ или пакет
Пакет: наборы функциональных требований или требований доверия для многократного использования. Дополнительный источник требований для ПЗ и ЗБ
Элемент: Неделимое требование безопасности
ФУНКЦИИ БЕЗОПАСНОСТИ ОО.
Функции безопасности ОО: Совокупность всех функций безопасности ОО, направленных на осуществление ПБО.
Политика безопасности организации: одно или несколько правил, процедур в области безопасности, которыми руководствуется организация в своей деятельности
СРЕДА БЕЗОПАСНОСТИ.
Среда безопасности включает все законы, политики безопасности организаций, опыт, специальные навыки и знания, для которых решено, что они имеют отношение к безопасности.
Включает:
Предположения безопасности
Угрозы
Политика безопасности организации
СТРУКТУРА ТРЕБОВАНИЙ ДОВЕРИЯ. (СМ ВОПРОС НОМЕР 2)
ОПЕРАЦИИ НАД ТРЕБОВАНИЯМИ.
итерация (iteration), позволяющая неоднократно использовать компонент при различном выполнении в нем операций;
назначение (assignment), позволяющее специфицировать параметр, устанавливаемый при использовании компонента;
выбор (selection), позволяющий специфицировать пункты, которые выбираются из перечня, приведенного в компоненте;
уточнение (refinement), позволяющее осуществлять дополнительную детализацию при использовании компонента
Назначение функциональных требований и требований доверия.
Функциональные компоненты безопасности выражают требования безопасности, направленные на противостояние угрозам в предлагаемой среде эксплуатации ОО и/или охватывающие любую идентифицированную политику безопасности организации и предположения
Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Первая группа содержит классы требований, предшествующих разработке и оценки объекта, Вторая группа связана с этапами жизненного цикла объекта аттестации