Автор работы: Пользователь скрыл имя, 12 Июня 2013 в 00:06, реферат
Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.
Введение…………………………………………………………………………...3
Обозначения и сокращения…………………………………….………………...4
1 Контекст безопасности…………………………………………………...................5
Общий контекст безопасности……………………..……………………….……..5
Контекст безопасности информационных технологий…......................................7
2 Подход общих критериев…………………………………………………….……....9
2.1 Разработка…………………………………………………………………………...9
2.2 Оценка ОО…………………………………………………………. ……………...10
2.3 Эксплуатация ОО……………………………………………………………...…..12
3 Понятия безопасности………………………………….…………………….……...13
3.1 Среда безопасности…..…………………………………………………….……...14
3.2 Цели безопасности…... …………………………………………………….……...16
3.3 Требования безопасности ИТ..…………………………………………….……....16
4 Описательные возможности………………………………………………….….......18
4.1 Представление требований безопасности..……………………………….……....18
4.2 Использование требований безопасности..……………………………….……....20
4.3 Источники требований безопасности….....……………………………….……....22
5 Виды оценок………………………………....……………………………….….…....23
5.1 Оценка ПЗ…………………………………………………………………….……..23
5.2Оценка ЗБ…………………………………....……………………………….……...23
5.3 Оценка ОО……………………………….....……………………………….……....23
Заключение……………………………………………………………………………...24
Список использованных источников………………………………………………….25
МИНОБРНАУКИ РОССИИ
Федеральное государственное
бюджетное образовательное
«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра "Информационная безопасность систем и технологий"
РЕФЕРАТ
на тему «Общая модель безопасности по ГОСТ Р ИСО/МЭК 15408»
Дисциплина: НОИБАС
Группа: 09ПК1
Выполнил: Латышев С.А.
Приняла: Алексеев В.М.
Пенза 2013
СОДЕРЖАНИЕ
Обозначения и сокращения…………………………………….………
Введение
Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.
Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно выполнять свои функции. Кроме того, отдельные лица вправе ожидать, что их персональная информация, содержащаяся в продуктах или системах ИТ, является конфиденциальной, будет всегда им доступна и не может быть подвергнута несанкционированной модификации. Продукты или системы ИТ должны выполнять свои функции при осуществлении надлежащего контроля информации, что гарантировало бы защиту информации от опасностей типа нежелательного или неоправданного распространения, изменения или потери. Термин безопасность ИТ используется в смысле предотвращения или уменьшения этих или подобных опасностей.
Многим потребителям ИТ недостает
знаний, опыта или ресурсов, необходимых
для того, чтобы с уверенностью
судить о приемлемости уровня безопасности
применяемых продуктов и
ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.
Обозначение и сокращения
ЗБ - задание по безопасности;
ИТ – информационные технологии;
ОК – общие критерии;
ОО – объект оценки;
ПБО – политика безопасности ОО;
ПЗ – профиль защиты;
ПФБ – политика функций безопасности;
СФБ – стойкость функций безопасности;
ФБ – функция безопасности;
ФБО – функции безопасности ОО.
1 Контекст безопасности
1.1 Общий контекст безопасности
Безопасность связана
с защитой активов от угроз, где
угрозы классифицированы на основе потенциала
злоупотребления защищаемыми
Рисунок 4.1 - Понятия безопасности и их взаимосвязь
За сохранность
Владельцы активов будут
анализировать возможные
Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя между этими составляющими). Но и после введения этих контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск, задавая дополнительные ограничения.
Прежде чем подвергнуть
активы опасности воздействия
Рисунок 2 - Понятия, используемые при оценке, и их взаимосвязь
Поскольку за активы несут
ответственность их владельцы, то им
следует иметь возможность
1.2 Контекст безопасности информационных технологий
Многие активы представлены в виде информации, которая хранится, обрабатывается и передается продуктами или системами ИТ таким образом, чтобы удовлетворить требования владельцев этой информации. Владельцы информации вправе требовать, чтобы распространение и модификация любых таких представлений информации строго контролировались. Они могут запросить, чтобы продукт или система ИТ реализовали специальные средства контроля для противостояния угрозам данным как часть всей совокупности контрмер безопасности.
Системы ИТ приобретаются
и создаются для выполнения определенных
требований и при этом, по экономическим
причинам, могут максимально
Если продукт ИТ уже
включен в состав различных систем
ИТ или такое включение
Аттестующий систему ИТ имеет полномочия владельца информации для вынесения заключения о том, обеспечивает ли сочетание контрмер безопасности, относящихся и не относящихся к ИТ, адекватную защиту данных и принятия на этом основании решения о допустимости эксплуатации данной системы. Аттестующий может потребовать оценку реализованных в ИТ контрмер, чтобы решить, обеспечивают ли эти контрмеры адекватную защиту и правильно ли они реализованы в системе ИТ. Допускаются различные форма и степень строгости оценки в зависимости от правил, которыми руководствуется аттестующий или которые вводятся им.
2 Подход общих критериев
OК не предписывают конкретную методологию разработки или модель жизненного цикла. На рисунке 3 представлены основополагающие предположения о соотношениях между требованиями безопасности и собственно ОО.
Рисунок 3 - Модель разработки ОО
Существенно, чтобы требования безопасности, налагаемые на разработку ИТ, эффективно содействовали достижению целей безопасности, установленных потребителями. Если соответствующие требования не установлены до начала процесса разработки, то даже хорошо спроектированный конечный продукт может не отвечать целям предполагаемых потребителей.
Этот процесс основан на уточнении требований безопасности, отображенных в краткой спецификации в составе задания по безопасности. Каждый последующий уровень уточнения представляет декомпозицию проекта с его дополнительной детализацией. Наименее абстрактным представлением является непосредственно реализация ОО.
OK не предписывают конкретную
совокупность представлений
а) каждый уровень уточнения полностью отображает более высокие уровни;
б) каждый уровень уточнения точно отображает более высокие уровни.
Критерии доверия из ОК идентифицируют следующие уровни абстракции проекта: функциональная спецификация, проект верхнего уровня, проект нижнего уровня и реализация. В зависимости от выбранного уровня доверия может потребоваться, чтобы разработчики показали, насколько методология разработки отвечает требованиям доверия из ОК.
Процесс оценки ОО, как показано на рисунке 4, может проводиться параллельно с разработкой или следом за ней. Основными исходными материалами для оценки ОО являются:
а) совокупность свидетельств, характеризующих ОО, включая прошедшее оценку ЗБ в качестве основы оценки ОО;
б) ОО, безопасность которого требуется оценить;
в) критерии, методология и система оценки.
Рисунок 4 - Процесс оценки ОО
Кроме того, в качестве исходных
материалов для оценки возможно также
использование вспомогательных
материалов и специальных знаний
в области безопасности ИТ, которыми
располагают оценщик и
Информация о работе Общая модель безопасности по ГОСТ Р ИСО/МЭК 15408