ОК содержат требования безопасности ИТ, предъявляемые к продуктам или системам и относящиеся к различаемым категориям функциональных требований (Часть 2 ОК) и требований доверия к безопасности (Часть 3 ОК). Функциональные требования ОК определяют желательный режим безопасности. Требования доверия являются основой для уверенности в том, что заявленные меры безопасности эффективны и корректно реализованы. Версия 2.0 Общих критериев состоит из трех частей. Описание полезности каждой части для заинтересованных лиц трех категорий (потребителей, разработчиков и оценщиков) показано ниже.
Подход Доверие к безопасности ИТ может быть достигнуто посредством действий, предпринимаемых в процессе разработки, оценки и эксплуатации. Разработка Общие критерии определяют общепризнанную совокупность требований к ИТ, которые могут быть использованы при установлении требований безопасности для будущих продуктов и систем. ОК также определяют профиль защиты (ПЗ) как конструкцию, позволяющую потребителям и разработчикам создавать стандартизованные наборы требований безопасности, отвечающие их потребностям. Объект оценки (ОО) – это та часть продукта или системы, которая является предметом оценки. Угрозы, цели и требования безопасности ОО, а также краткая спецификация функций безопасности и мер доверия к безопасности излагаются в задании по безопасности (ЗБ), которое используется оценщиками как основание при оценке. Оценка Основными исходными материалами для оценки являются задание по безопасности, совокупность свидетельств об ОО и собственно ОО. Ожидаемым результатом процесса оценивания является содержащееся в одном или нескольких отчетах, документирующих заключения оценки, подтверждение того, что ОО удовлетворяет требованиям ЗБ. Эксплуатация Во время эксплуатации ОО могут проявляться неизвестные ранее уязвимости, или же могут требовать пересмотра предположения в отношении среды. Тогда разработчику может быть предложено внести изменения в ОО. Вследствие этих изменений может потребоваться переоценка. Основы безопасности В ОК вопросы безопасности обсуждаются с использованием иерархической структуры понятий безопасности: Среда безопасности Законы, политики безопасности организаций и т.д., определяющие условия использования ОО. Сюда также включены угрозы, относящиеся к среде ОО. Цели безопасности Сформулированное намерение противостоять идентифицированным угрозам и/или удовлетворять принятой политике безопасности организации и предположениям. Требования безопасности ОО Преобразование целей безопасности ИТ в совокупность специальных требований к функциям безопасности и требований доверия к безопасности, относящихся к ОО и его среде ИТ. Спецификации безопасности ОО Определяют фактически существующую или предполагаемую реализацию ОО. Реализация ОО Воплощение ОО в соответствии с его спецификацией. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |