Федеральное государственное образовательное бюджетное

Учреждение высшего образования

«Финансовый университет

При Правительстве Российской Федерации»

(Финансовый университет)

Национальный стандарт

ГОСТ Р ИСО/МЭК 15408-1-2012

("Общая модель оценки")

 

Студент группы ИБ3-1

Анточи А.С

Назначение стандарта

  1. Методы обеспечения безопасности
  2. Средства обеспечения безопасности
  3. Критерии оценки безопасности ИТ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Security techniques. Evaluation criteria for IT security

  1. Методы (техники) обеспечения безопасности
  2. Средства обеспечения безопасности
  3. Критерии оценки безопасности ИТ

РУС.

АНГ.

В чем может помочь данный стандарт

  1. В разработке, оценке и приобретении (выборе) средств ИТ с функциональными возможностями безопасности
     
  2. В защите информации от угроз, выходящими за пределы конфиденциальности, целостности и доступности (защита от рисков)
     
  3. В определении общей оценки характеристик безопасности продуктов ИТ
     
  4. В доработке  компонентов посредством разрешенных операций для конкретного применения
     
  5. В получении инструкции по спецификации заданий по безопасности
     
  6. В получении информации о методологии оценки продуктов ИТ

Вступительная часть (начало документа)

Отрывок из раздела №8 ГОСТ Р 1.0-2012 -

"Применение документов в области стандартизации":

Сказано, где искать изменения, но не сказано, что делать

=> необходимо отслеживать изменения и вводить их по мере появления, иначе - несоответствие требованиям

Понятие объекта оценки (ОО) и связь с понятием конфигурации ОО

Относительно ИСО/МЭК 15408 четкое соотношение между ОО и любыми продуктами ИТ является важным только в одном аспекте: оценку ОО, содержащего часть продукта ИТ, не следует ошибочно представлять как оценку продукта ИТ в целом.

ОО - это абстракция, границы которой определяются пользователем стандарта.

Примеры абстракций "ОО":

  1. прикладная программа;
  2. операционная система;
  3. прикладная программа в сочетании с операционной системой;
  4. прикладная программа в сочетании с операционной системой и рабочей станцией;
  5. операционная система в сочетании с рабочей станцией;
  6. интегральная схема смарт-карты;
  7. локальная вычислительная сеть, включая все терминалы, серверы, сетевое оборудование и программные средства;

Если руководства ОО допускают более одной конфигурации, то все эти конфигурации вместе именуются "ОО", и каждая такая конфигурация должна удовлетворять требованиям, предъявляемым к ОО

...что подтверждает ответственность лица, использующего стандарт за формирования абстракций ОО

ОО <> среде функционирования.

Т.е стандарт явно отделяет ОО от той среды, в которой он функционирует и которая может быть "некорректной"

Структура оценки ОО

Все критерии оценки структурированы в интересах 3х групп пользователей:

  • Потребители - удовлетворение потребностей при выборе нужных ИТ-продуктов
  • Разработчики - понимание того, "что" необходимо сделать на этапе разработки 
  • Оценщики - критерии для формирования заключений об оценке

Взаимосвязь понятий при оценке ОО

  1. Задание по безопасности(ЗБ) -> Цели безопасности -> Выработка контрмер
  2. Контремеры -> Оценка -> Определение корректности

Профили защиты(ПЗ) и задания безопасности(ЗБ) при оценки ОО

Профиль защиты - это общие правила для конкретного типа ОО, подлежащие уточнению в задании по безопаснсоти

Задание безопасности - уточнение общих правил из профиля, добавление дополнительных в зависимости от конкретного ОО

ПЗ могут разрабатываться сообществом лиц, заинтересованных в оценке определенного типа ОО, в то время как ЗБ разрабатываются уже непосредственно разработчиками конкретных ОО

Профили защиты(ПЗ) и задания безопасности(ЗБ) при оценки ОО

Упрощение процесса оценки ОО с помощью ПЗ:

  1. Организация, заинтересованная в приобретении конкретного типа продукта безопасности ИТ, излагает свои потребности в безопасности в ПЗ, затем обеспечивает его оценку и выпуск
     
  2. Разработчик получает этот ПЗ, разрабатывает ЗБ, которое содержит утверждение о соответствии данному ПЗ, и обеспечивает оценку этого ЗБ
     
  3. Разработчик создает ОО (или использует существующий) и обеспечивает его оценку на соответствие ЗБ
     
  4. Разработчик может доказать, что его ОО удовлетворяет потребностям в безопасности организации: поэтому организация может закупить этот ОО

Результаты оценки

Основной итог оценки - определение соответствия/несоответствия ОО по отношению к ЗБ

Утверждение о соответствии включает:

  1. описание версии ИСО/МЭК 15408, о соответствии которой заявлено в ПЗ или ЗБ
     
  2. "соответствие именованному пакету" - ПЗ или ЗБ соответствует предопределенному именованному пакету (например, ОУД)
     
  3. "соответствие ПЗ" - ПЗ или ОО удовлетворяет конкретному(ым) профилю(ям) защиты, который(ые) перечислен(ы) как часть утверждения о соответствии

Итоговая модель оцениваемого объекта ИТ

Made with Slides.com