Лекция № 4. Канадские критерии безопасности компьютерных систем

Тема. Обзор и сравнительный анализ стандартов информационной безопасности

Выводы

"Федеральные критерии безопасности информационных технологий" первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция Профиля защиты - документа, содержащего описание всех требований безопасности как к самому ИТ-продукту, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.

Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования ТСВ. Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования как основу для подтверждения безопасности своего продукта.

Требования к процессу квалификационного анализа носят довольно общий характер и не содержат конкретных методик тестирования и исследования безопасности ИТ-продуктов.

Разработчики "Федеральных критериев" отказались от используемого в "Оранжевой книге" подхода к оценки уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. е. вместо единой шкалы используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.

Особо отметим, что этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.

Данный стандарт ознаменовал появление нового поколения руководящих документов в области информационной безопасности, а его основные положения послужили базой для разработки "Канадских критериев безопасности компьютерных систем" и "Единых критериев безопасности информационных технологий".

 

 

Учебные вопросы:

1. Цель разработки

2. Базовые концепции "Канадских критериев"

3. Основные положения и структура "Канадских критериев"

 

Время : 2 часа.