Вопрос № 2. Основные положения

Вопрос № 2. Главные положения


Вопрос № 1. Цель разработки

Лекция № 3. Федеральные аспекты безопасности информационных технологий

Тема. Обзор и сравнительный анализ эталонов информационной безопасности

Учебные вопросы:

1. Цель разработки

2. Главные понятия.

3. Профиль защиты

4. Многофункциональные требования к ИТ-продукту

5. Требования к технологии разработки ИТ-продукта

6. Требования к процессу квалификационного анализа ИТ-продукта

Время : 4 часа.

Федеральные аспекты безопасности информационных технологий" (Federal Criteria for Information Technology Security) разрабатывались как одна из составляющих "Южноамериканского федерального эталона по обработке инфы" (Federal Information Processing Standard), призванного поменять "Оранжевую книжку". Разработчиками эталона выступили Государственный институт эталонов и технологий США (National Institute of Standards and Technology) и Агентство государственной безопасности США (National Security Agency). Данный обзор основан на версии 1.0 этого документа, размещенной в декабре 1992 года.



Этот документ разработан на базе результатов бессчетных исследовательских работ в области обеспечения безопасности информационных технологий 80-х — начала 90-х годов, также на базе анализа опыта использования "Оранжевой книжки". Документ представляет собой базу для разработки и сертификации компонент информационных технологий исходя из убеждений обеспечения безопасности. Создание "Федеральных критериев безопасности информационных технологий" преследовало последующие цели:

1. Определение универсального и открытого для предстоящего развития базисного набора требований безопасности, предъявляемых к современным информационным технологиям. Требования к безопасности и аспекты оценки уровня защищенности должны соответствовать современному уровню развития информационных технологий и учесть его прогресс в дальнейшем. Эталон предлагает обоснованный и структурированный подход к разработке требований безопасности к продуктам информационных технологий с учетом областей их внедрения.

2. Улучшение имеющихся требований и критериев безопасности. В связи с развитием информационных технологий назрела необходимость пересмотра базовых принципов безопасности с учетом возникновения новых областей их внедрения, как в муниципальном так и в личном секторе.

3. Приведение в соответствие принятых в различных странах требований и критериев безопасности информационных технологий.

4. Нормативное закрепление основополагающих принципов информационной безопасности. Эталон является обобщением главных принципов обеспечения безопасности информационных технологий, разработанных в 80-е годы, и обеспечивает преемственность по отношению к ним с целью сохранения достижений в области защиты инфы.

"Федеральные аспекты безопасности информационных технологий" (дальше, просто "Федеральные аспекты") обхватывают фактически полный диапазон заморочек, связанных с защитой и обеспечением безопасности, т.к. включают все нюансы обеспечения конфиденциальности, целостности и работоспособности.

Основными объектами внедрения требований безопасности "Федеральных критериев", являются продукты информационных технологий (Information Technology Products) и системы обработки инфы (Information Technology Systems). Под продуктом информационных технологий (дальше просто "ИТ-продукт") понимается совокупа аппаратных и/либо программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки инфы. Обычно, ИТ-продукт эксплуатируется не автономно, а встраивается в систему обработки инфы, представляющую собой совокупа ИТ-продуктов, объединенных в функционально полный комплекс, созданный для решения прикладных задач. В ряде всевозможных случаев система обработки инфы может состоять только из 1-го ИТ-продукта, обеспечивающего решение всех стоящих перед системой задач и удовлетворяющего требованиям безопасности. Исходя из убеждений безопасности принципное различие меж ИТ-продуктом и системой обработки инфы определяется средой их эксплуатации. Продукт информационных технологий обычно разрабатывается в расчете на то, что он будет применен в почти всех системах обработки инфы, и, как следует, разработчик должен ориентироваться лишь на самые общие догадки о среде эксплуатации собственного продукта, включающие условия внедрения и общие опасности. Напротив, система обработки информа­ции разрабатывается для решения прикладных задач в расчете на требования конечных потребителей, что позволяет полностью учесть специфику воздействий со стороны определенной среды эксплуатации.


Загрузка...

"Федеральные аспекты" содержат положения, относящиеся только к отдельным продуктам информационных технологий. Вопросы построения систем обработки инфы из набора ИТ-продуктов не являются предметом рассмотрения этого документа.

Положения "Федеральных критериев" касаются только собствен­ных средств обеспечения безопасности ИТ-продуктов, т.е. устройств защиты, интегрированных конкретно в эти продукты в виде соответственных программных, аппаратных либо особых средств. Для увеличения их эффективности могут дополнительно применяться наружные системы защиты и средства обеспечения безопасности, к которым относятся как технические средства, так и организационные меры, правовые и юридические нормы. В конечном счете, безопасность ИТ-продукта определяется совокупой собственных средств обеспечения безопасности и наружных средств, являющихся частью среды эксплуатации.

Главным понятием концепции информационной безопасности "Федеральных критериев" является понятие "Профиля защиты" (Protection Profile). Профиль защиты — это нормативный документ, который регламентирует все нюансы безопасности ИТ-продукта в виде требований к его проектированию, технологии разработки и квалификационному анализу. Обычно, один Профиль защиты обрисовывает несколько близких по структуре и предназначению ИТ-продуктов. Основное внимание в Профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, также их адекватности предполагаемым угрозам безопасности.

"Федеральные аспекты" представляют процесс разработки систем обработки инфы, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде последующих главных шагов:

1. Разработка и анализ Профиля защиты. Требования, изложенные в Профиле защиты, определяют многофункциональные способности ИТ-продуктов по обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Не считая требований безопасности Профиль содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования и квалификационного анализа ИТ-продукта. Профиль безопасности анализируется на полноту, непротиворечивость и техно правильность.

2. Разработка и квалификационный анализ ИТ-продуктов. Разработанные ИТ-продукты подвергаются независящему анализу, целью которого является определение степени соответствия черт продукта сформулированным в Профиле защиты требованиям и спецификациям.

3. Сборка и сертификация системы обработки инфы в целом. Удачно прошедшие квалификацию уровня безопасности ИТ-продукты интегрируются в систему обработки инфы. Приобретенная в итоге система должна удовлетворять заявленным в Профиле защиты требованиям при соблюдении обозначенных в нем критерий эксплуатации.

"Федеральные аспекты" регламентируют только 1-ый шаг этой схемы — разработку и анализ Профиля защиты, процесс сотворения ИТ-продуктов и сборка систем обработки инфы остаются вне рамок этого эталона.




Возможно Вам будут интересны работы похожие на: Вопрос № 2. Основные положения:


Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Похожый реферат

Cпециально для Вас подготовлен образовательный документ: Вопрос № 2. Основные положения