Самоконтроль КЗЗ

Опис

Висновки

Група 1

Група 2

АС, у яких користувачі мають однакові повноваження доступу до всієї інформації. Класи 2Б и 2А

Багатокористувацькі АС, в яких обробляється інформація різних рівнів конфіденційності, користувачі мають різні права доступу. Класи 1Д, 1М, 1В, 1Б, 1А

· Подібно «Жовтогарячій книзі», документи орієнтовані на системи військового застосування.

· Поняття «Політика безпеки» трактується винятково як підтримка режиму таємності і відсутність НСД. Засоби захисту орієнтуються винятково на протидію зовнішнім загрозам.

· Відсутні вимоги до захисту від загроз працездатності і до адекватності реалізації політики безпеки. До структури самої системи і до її функціонування вимоги не пред'являються.

· Використовується єдина універсальна шкала ступеня захищеності. Ранжирування вимог по класах максимально спрощене.

6.4. Федеральні критерії безпеки інформаційних технологій США

 

Цілі розробки

· Визначення універсального і відкритого для подальшого розвитку набору основних вимог безпеки, пропонованих до сучасних інформаційних технологій.

· Удосконалення існуючих вимог і критеріїв безпеки.

· Приведення у відповідність між собою прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.

· Нормативне закріплення основних принципів інформаційної безпеки.

Етапи розробки продукта ІТ

Пояснення термінології

В “Федеральних критеріях”, а також в деяких наступних стандартах застосовується термін “продукт інформаційних технологій” (продукт ІТ, або ІТ-продукт). За значенням цей термін близький до терміну “Комп’ютерна система” (КС) згідно діючого в Україні НД ТЗІ 1.1-003-99, а саме: сукупність програмних і апаратних засобів, що представлена для кваліфікаційного аналізу (експертизи). В керівних документах ДТК Росії використовується термін “Засіб обчислювальної техніки” (Рос. – “Средство вычислительной техники”, СВТ). Слід зазначити, що термін з “Федеральних критеріїв” є більш гнучким.

Розробка й аналіз профілю захисту

Вимоги, викладені в профілі захисту, визначають функціональні можливості продуктів ІТ по забезпеченню безпеки й умови експлуатації, при дотриманні яких гарантується відповідність пропонованим вимогам. Профіль захисту аналізується на повноту, несуперечність і технічну коректність.

Розробка і кваліфікаційний аналіз продуктів ІТ

Розроблені продукти ІТ піддаються незалежному аналізу, мета якого – визначення ступеня відповідності характеристик продукту вимогам профілю захисту.

Компонування і сертифікація системи обробки інформації в цілому

Отримана в результаті система повинна задовольняти заявленим у профілі захисту вимогам.

Структура профілю захисту

Класифікаційна інформація, необхідна для ідентифікації профілю в спеціальній картотеці.

Обґрунтування

Опис середовища експлуатації, передбачуваних загроз безпеки і методів використання продукта ІТ.

Функціональні вимоги

Реалізація політики безпеки

· Політика аудита

Ідентифікація й автентифікація

Реєстрація в системі

Забезпечення прямої взаємодії з КЗЗ

Реєстрація й облік подій

· Політика керування доступом

Дискреційне керування доступом

Мандатне керування доступом

Контроль прихованих каналів

· Політика забезпечення працездатності

Контроль за розподілом ресурсів

Забезпечення стійкості до відмов

· Керування безпекою

Моніторинг взаємодій

Логічний захист КЗЗ

Фізичний захист КЗЗ

Ініціалізація і відновлення КЗЗ

Обмеження привілеїв при роботі з КЗЗ