Вопрос № 3. Профиль защиты

Вопрос № 3. Профиль защиты


Как уже говорилось, Профиль защиты является центральным понятием "Федеральных критериев", большая часть содержания которых представляет собой описание разделов Профиля защиты, включающее таксономию требований безопасности и их ранжирование. Разглядим предназначение, структуру и этапы разработки Профиля защиты.

3.1 Предназначение и структура Профиля защиты

Профиль защиты предназначен для определения и обоснования состава и содержания средств защиты, спецификации технологии разработки и регламентации процесса квалификационного анализа ИТ-продукта. Профиль защиты состоит из последующих 5 разделов:

· описание;

· обоснование;

· многофункциональные требования к ИТ-продукту;

· требования к технологии разработки ИТ-продукта;

· требования к процессу квалификационного анализа ИТ-продукта.

Описание Профиля содержит классификационную информацию, нужную для его идентификации в специальной картотеке. "Федеральные аспекты" предлагают поддерживать такую картотеку на общегосударственном уровне. Это позволит хоть какой организации пользоваться сделанными ранее Профилями защиты конкретно, либо использовать их в качестве прототипов для разработки новых. В описании Профиля защиты должна быть охарактеризована основная неувязка либо группа заморочек обеспечения безопасности, решаемых при помощи внедрения данного Профиля.



Обоснование содержит описание среды эксплуатации, предполагаемых угроз безопасности и способов использования ИТ-продукта. Не считая того, этот раздел содержит подробный список задач по обеспечению безопасности, решаемых при помощи данного Профиля. Эта информация дает возможность найти, в какой мере данный Профиль защиты подходящ для внедрения в той либо другой ситуации. Подразумевается, что данный раздел нацелен на службы безопасности организаций, которые изучают возможность использования ИТ-продукта, соответственного данному Профилю защиты.

Раздел многофункциональных требований к ИТ-продукту содержит описание многофункциональных способностей средств защиты ИТ-продукта и определяет условия, в каких обеспечивается безопасность в виде списка угроз, которым удачно противостоят предложенные средства защиты. Опасности, лежащие вне этого спектра, должны быть устранены при помощи дополнительных, не входящих в состав продукта, средств обеспечения безопасности. Разумеется, что чем посильнее и опаснее опасности, тем паче сильными и стойкими должны быть средства, реализующие функции защиты.

Раздел требований к технологии разработки ИТ-продукта обхватывает все этапы его сотворения, начиная от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит требования как к самому процессу разработки, так и к условиям, в каких она проводится, к применяемым технологическим средствам, также к документированию этого процесса. Выполнение требований этого раздела является обязательным условием для проведения квалификационного анализа и сертификации ИТ-продукта.

Раздел требований к процессу квалификационного анализа ИТ-продукта регламентирует порядок проведения квалификационного анализа в виде методики исследовательских работ и тестирования ИТ-продукта. Объем и глубина требуемых исследовательских работ зависят от более возможных типов угроз, среды внедрения и планируемой технологии эксплуатации.

"Федеральные аспекты" содержат подробное описание всех 3-х разделов Профиля защиты, посвященных требованиям, включающее их таксономию и ранжирование для каждого раздела. В данном обзоре основное внимание уделено многофункциональным требованиям, т. к. конкретно в этой области "Федеральные аспекты" сделали значимый шаг вперед по сопоставлению с предыдущими эталонами.

3.2. Этапы разработки Профиля защиты

Разработка Профиля защиты осуществляется в три шага: анализ среды внедрения ИТ-продукта исходя из убеждений безопасности, выбор Профиля-прототипа и синтез требований. На рис. 1 приведена общая схема разработки Профиля защиты.


Загрузка...

На первой стадии проводится анализ инфы о среде предполагаемого внедрения ИТ-продукта, действующих в этой среде опасностях безопасности и применяемых этими опасностями недочетах защиты. Анализ проводится с учетом технологии использования продукта, также имеющихся эталонов и нормативов, регламентирующих его эксплуатацию.

Рис.1 Схема разработки Профиля защиты согласно "Федеральным аспектам"

2-ой шаг состоит в поиске Профиля, который может быть применен в качестве макета. Как уже говорилось, "Федеральные аспекты" предугадывают создание специальной, доступной для разработчиков ИТ-продуктов, картотеки, в которую должны быть помещены все разработанные когда-либо Профили защиты. Это позволит минимизировать издержки на создание Профилей и учитывать опыт прошлых разработок.

Шаг синтеза требований включает выбор более существенных для критерий функционирования продукта функций защиты и их ранжирование по степени значимости исходя из убеждений обеспечения свойства защиты. Выбор специфичных для среды требований безопасности должен быть основан на их эффективности для решения задачки противодействия угрозам. Разработчик Профиля должен показать, что выполнение выдвинутых требований ведет к обеспечению требуемого уровня безопасности средством удачного противоборства данному огромному количеству угроз и устранения недочетов защиты.

При разработке Профиля защиты нужно рассматривать связи и взаимозависимости, имеющиеся меж многофункциональными требованиями и требованиями к процессу разработки, также меж отдельными требования снутри этих разделов. По окончанию разработки Профиль защиты подвергается проверке, целью которой является доказательство его полноты, правильности, непротиворечивости и реализуемости.




Возможно Вам будут интересны работы похожие на: Вопрос № 3. Профиль защиты:


Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Cпециально для Вас подготовлен образовательный документ: Вопрос № 3. Профиль защиты