Общая модель безопасности по ГОСТ Р ИСО/МЭК 15408

Автор работы: Пользователь скрыл имя, 12 Июня 2013 в 00:06, реферат

Описание работы

Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.

Содержание работы

Введение…………………………………………………………………………...3
Обозначения и сокращения…………………………………….………………...4
1 Контекст безопасности…………………………………………………...................5
Общий контекст безопасности……………………..……………………….……..5
Контекст безопасности информационных технологий…......................................7
2 Подход общих критериев…………………………………………………….……....9
2.1 Разработка…………………………………………………………………………...9
2.2 Оценка ОО…………………………………………………………. ……………...10
2.3 Эксплуатация ОО……………………………………………………………...…..12
3 Понятия безопасности………………………………….…………………….……...13
3.1 Среда безопасности…..…………………………………………………….……...14
3.2 Цели безопасности…... …………………………………………………….……...16
3.3 Требования безопасности ИТ..…………………………………………….……....16
4 Описательные возможности………………………………………………….….......18
4.1 Представление требований безопасности..……………………………….……....18
4.2 Использование требований безопасности..……………………………….……....20
4.3 Источники требований безопасности….....……………………………….……....22
5 Виды оценок………………………………....……………………………….….…....23
5.1 Оценка ПЗ…………………………………………………………………….……..23
5.2Оценка ЗБ…………………………………....……………………………….……...23
5.3 Оценка ОО……………………………….....……………………………….……....23
Заключение……………………………………………………………………………...24
Список использованных источников………………………………………………….25

Файлы: 1 файл

Referat_NOIBAS.docx

— 139.32 Кб (Скачать файл)

МИНОБРНАУКИ РОССИИ

Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования

«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ»

Кафедра "Информационная безопасность систем и технологий"

 

 

 

 

 

РЕФЕРАТ

на тему «Общая модель безопасности по ГОСТ Р ИСО/МЭК 15408»

 

 

 

 

 

 

 

 

 

Дисциплина: НОИБАС

Группа: 09ПК1

Выполнил: Латышев С.А.

Приняла: Алексеев В.М.

 

 

 

Пенза 2013 
СОДЕРЖАНИЕ

Введение…………………………………………………………………………...3

Обозначения и сокращения…………………………………….………………...4

1   Контекст безопасности…………………………………………………...................5

    1. Общий контекст безопасности……………………..……………………….……..5

    1. Контекст безопасности информационных технологий…......................................7

2 Подход общих критериев…………………………………………………….……....9

2.1 Разработка…………………………………………………………………………...9

2.2 Оценка ОО…………………………………………………………. ……………...10

2.3  Эксплуатация ОО……………………………………………………………...…..12

3 Понятия безопасности………………………………….…………………….……...13

3.1 Среда безопасности…..…………………………………………………….……...14

3.2 Цели безопасности…... …………………………………………………….……...16

3.3 Требования безопасности ИТ..…………………………………………….……....16

4 Описательные возможности………………………………………………….….......18

4.1 Представление требований  безопасности..……………………………….……....18

4.2 Использование требований безопасности..……………………………….……....20

4.3 Источники требований безопасности….....……………………………….……....22

5 Виды оценок………………………………....……………………………….….…....23

5.1 Оценка ПЗ…………………………………………………………………….……..23

5.2Оценка ЗБ…………………………………....……………………………….……...23

5.3 Оценка ОО……………………………….....……………………………….……....23

Заключение……………………………………………………………………………...24

Список использованных источников………………………………………………….25

 

 

 

 

 

 

 

 

 

 

 

Введение

Проблема обеспечения  безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как  возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ, совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения проблемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.

Информация, содержащаяся в  системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно выполнять свои функции. Кроме того, отдельные лица вправе ожидать, что их персональная информация, содержащаяся в продуктах или системах ИТ, является конфиденциальной, будет всегда им доступна и не может быть подвергнута несанкционированной модификации. Продукты или системы ИТ должны выполнять свои функции при осуществлении надлежащего контроля  информации, что гарантировало бы защиту информации от опасностей типа нежелательного или неоправданного распространения, изменения или потери. Термин безопасность ИТ используется в смысле предотвращения или уменьшения этих или подобных опасностей.

Многим потребителям ИТ недостает  знаний, опыта или ресурсов, необходимых  для того, чтобы с уверенностью судить о приемлемости уровня безопасности применяемых продуктов и систем, и они не хотят полагаться только на утверждения их разработчиков. Чтобы  увеличить степень доверия к  мерам безопасности систем или продуктов  ИТ, потребители могут заказать проведение анализа безопасности систем и продуктов ИТ. ОК можно использовать для выбора подходящих мер безопасности ИТ. В них содержатся критерии оценки требований безопасности.

ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.

 

 

 

Обозначение и сокращения

ЗБ - задание по безопасности;

ИТ – информационные технологии;

ОК – общие критерии;

ОО – объект оценки;

ПБО – политика безопасности ОО;

ПЗ – профиль защиты;

ПФБ – политика функций  безопасности;

СФБ – стойкость функций  безопасности;

ФБ – функция безопасности;

ФБО – функции безопасности ОО.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 Контекст безопасности

1.1 Общий контекст безопасности

Безопасность связана  с защитой активов от угроз, где  угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все  разновидности угроз, но в сфере  безопасности наибольшее внимание уделяется  тем из них, которые связаны с  действиями человека, злонамеренными или иными. Рисунок 1 иллюстрирует высокоуровневые понятия безопасности и их взаимосвязь.

Рисунок 4.1 - Понятия безопасности и их взаимосвязь

За сохранность рассматриваемых  активов отвечают их владельцы, для  которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Владельцы будут воспринимать подобные угрозы как потенциал воздействия  на активы, приводящего к понижению  их ценности для владельца. К специфическим  нарушениям безопасности обычно относят: наносящее ущерб раскрытие актива несанкционированным получателем, ущерб активу вследствие несанкционированной модификации или несанкционированное лишение доступа к активу.

Владельцы активов будут  анализировать возможные угрозы, чтобы решить, какие из них действительно  присущи их среде. В результате анализа  определяются риски. Анализ может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого  уровня.

Контрмеры предпринимают  для уменьшения уязвимостей и  выполнения политики безопасности владельцев активов (прямо или косвенно распределяя  между этими составляющими). Но и  после введения этих контрмер могут  сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень  остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск, задавая дополнительные ограничения.

Прежде чем подвергнуть  активы опасности воздействия выявленных угроз, их владельцам необходимо убедиться, что предпринятые контрмеры обеспечат  адекватное противостояние этим угрозам. Сами владельцы активов не всегда в состоянии судить обо всех аспектах предпринимаемых контрмер и поэтому  могут потребовать их оценку. Результатом  такой оценки является заключение о  степени доверия контрмерам по уменьшению рисков для защищаемых активов. В  этом заключении устанавливается уровень  доверия как результат применения контрмер. Доверие является той характеристикой  контрмер, которая дает основание  для уверенности в их надлежащем действии. Заключение о результатах  оценки может быть использовано владельцем активов при принятии решения  о приемлемости риска для активов, создаваемого угрозами. Рисунок 2 иллюстрирует эту взаимосвязь.

Рисунок 2 - Понятия, используемые при оценке, и их взаимосвязь

Поскольку за активы несут  ответственность их владельцы, то им следует иметь возможность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами. Для этого требуется, чтобы  результаты оценки были правомерными. Следовательно, оценка должна приводить  к объективным и повторяемым  результатам, что позволит использовать их в качестве свидетельства.

1.2 Контекст безопасности  информационных технологий

Многие активы представлены в виде информации, которая хранится, обрабатывается и передается продуктами или системами ИТ таким образом, чтобы удовлетворить требования владельцев этой информации. Владельцы  информации вправе требовать, чтобы  распространение и модификация  любых таких представлений информации строго контролировались. Они могут запросить, чтобы продукт или система ИТ реализовали специальные средства контроля для противостояния угрозам данным как часть всей совокупности контрмер безопасности.

Системы ИТ приобретаются  и создаются для выполнения определенных требований и при этом, по экономическим  причинам, могут максимально использоваться имеющиеся коммерческие продукты ИТ, такие как операционные системы, компоненты прикладного программного обеспечения общего назначения и  аппаратные платформы. Контрмеры безопасности ИТ, реализованные в системе, могут  использовать функции, имеющиеся во включаемых продуктах ИТ, и, следовательно, зависят от правильного выполнения функций безопасности продуктов  ИТ. Поэтому продукты ИТ могут подлежать  оценке в качестве составной части  оценки безопасности системы ИТ.

Если продукт ИТ уже  включен в состав различных систем ИТ или такое включение предполагается, то экономически целесообразна отдельная  оценка аспектов безопасности подобного  продукта и создание каталога оцененных  продуктов. Результаты подобной оценки следует выражать таким образом, чтобы имелась возможность использовать продукт в различных системах ИТ без излишнего повторения работ  по экспертизе его безопасности.

Аттестующий систему ИТ имеет  полномочия владельца информации для  вынесения заключения о том, обеспечивает ли сочетание контрмер безопасности, относящихся и не относящихся  к ИТ, адекватную защиту данных и  принятия на этом основании решения  о допустимости эксплуатации данной системы. Аттестующий может потребовать  оценку реализованных в ИТ контрмер, чтобы решить, обеспечивают ли эти  контрмеры адекватную защиту и правильно  ли они реализованы в системе ИТ. Допускаются различные форма и степень строгости оценки в зависимости от правил, которыми руководствуется аттестующий или которые вводятся им.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 Подход общих критериев

2.1 Разработка

OК не предписывают конкретную методологию разработки или модель жизненного цикла. На рисунке 3 представлены основополагающие предположения о соотношениях между требованиями безопасности и собственно ОО.

 

 

Рисунок 3 - Модель разработки ОО

Существенно, чтобы требования безопасности, налагаемые на разработку ИТ, эффективно содействовали достижению целей безопасности, установленных  потребителями. Если соответствующие  требования не установлены до начала процесса разработки, то даже хорошо спроектированный конечный продукт может не отвечать целям предполагаемых потребителей.

Этот процесс основан  на уточнении требований безопасности, отображенных в краткой спецификации в составе задания по безопасности. Каждый последующий уровень уточнения  представляет декомпозицию проекта  с его дополнительной детализацией. Наименее абстрактным представлением является непосредственно реализация ОО.

OK не предписывают конкретную  совокупность представлений проекта.  В ОК требуется, чтобы имелось  достаточное число представлений  с достаточным уровнем детализации  для демонстрации, если потребуется,  того, что:

а) каждый уровень уточнения  полностью отображает более высокие  уровни;

б) каждый уровень уточнения  точно отображает более высокие  уровни.

Критерии доверия из ОК идентифицируют следующие уровни абстракции проекта: функциональная спецификация, проект верхнего уровня, проект нижнего  уровня и реализация. В зависимости  от выбранного уровня доверия может  потребоваться, чтобы разработчики показали, насколько методология  разработки отвечает требованиям доверия  из ОК.

2.2 Оценка ОО

Процесс оценки ОО, как показано на рисунке 4, может проводиться параллельно с разработкой или следом за ней. Основными исходными материалами для оценки ОО являются:

а) совокупность свидетельств, характеризующих ОО, включая прошедшее  оценку ЗБ в качестве основы оценки ОО;

б) ОО, безопасность которого требуется оценить;

в) критерии, методология  и система оценки.

 

 

 

Рисунок 4 - Процесс оценки ОО

Кроме того, в качестве исходных материалов для оценки возможно также  использование вспомогательных  материалов  и специальных знаний в области безопасности ИТ, которыми располагают оценщик и сообщество участников оценок.

Информация о работе Общая модель безопасности по ГОСТ Р ИСО/МЭК 15408