Каталог средств ЗИ
Весь каталог

Подход к оценке



Описание ОО

Устанавливает контекст оценки. Способствует пониманию требований безопасности ОО и дает представление о типе ОО, его предполагаемом применении и основных характеристиках безопасности.

Среда безопасности

Как и для ПЗ, содержит описание угроз, политики безопасности организации, которой ОО должен соответствовать, а также аспектов безопасности среды, в которой предполагается применение ОО (предположений).

Цели безопасности

Включают цели безопасности как для ОО, так и для поддерживающей его среды. Эти цели направлены на противостояние идентифицированным угрозам и соответствуют политике безопасности организации и предположениям.

Требования безопасности ИТ

Приводятся требования безопасности ИТ ОО, включая конкретизированные функциональные требования и требования доверия. Там, где это необходимо, указываются требования безопасности для среды ИТ. Требования, выражаемые ссылкой на ПЗ, не обязательно повторяются в ЗБ. При необходимости также следует указать минимальный уровень стойкости функций безопасности.

Утверждения о соответствии ПЗ

Если в ЗБ заявлено о соответствии ОО требованиям одного или нескольких ПЗ, то требуются пояснения, мотивировка и прочие вспомогательные материалы. Здесь содержится ссылка на ПЗ, описание уточнений ПЗ и описание дополнений к ПЗ.

Краткая спецификация ОО

Обеспечивает высокоуровневое определение функций безопасности, заявленных для выполнения функциональных требований, и мер безопасности, предпринимаемых для выполнения требований доверия. При необходимости для отдельных функций безопасности может быть заявлена стойкость функций.

Обоснование

Демонстрирует, что ЗБ содержит полную и взаимосвязанную совокупность пригодных для использования и эффективных контрмер.

Оценка

Оценкой называется проверка продукта или системы ИТ по определенным критериям. Оценка по ОК использует ОК как основу для оценивания характеристик безопасности ИТ. Оценки по единому стандарту повышают сопоставимость итоговых результатов оценок. Чтобы далее повышать сопоставимость результатов оценок, они должны быть выполнены в рамках полномочной системы оценки, в которой установлены стандарты и постоянно контролируется качество оценок. Такие системы существуют в настоящее время во многих странах.

Определены различные стадии оценки, соответствующие основным уровням представления ОО.

  • Оценка ПЗ – выполняемая по критериям оценки для ПЗ (из части 3 ОК).
  • Оценка ЗБ – выполняемая по критериям оценки для ЗБ (из части 3 ОК).
  • Оценка ОО – выполняемая по критериям оценки из части 3 ОК с использованием оцененного ЗБ в качестве основы.
  • Поддержание доверия – выполняемое в соответствии со схемой, основанной на требованиях из части 3 ОК.

Тестирование, проверка проекта и проверка реализации вносят значительный вклад в снижение риска наличия нежелательного поведения ОО. ОК представляют структуру проведения экспертного анализа (оценки) в указанных областях.

Страницы: 1 2 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
Вопрос специалисту
Видео
28.12.2011
Перехват информативного сигнала клавиатуры
Перехват информативного сигнала клавиатуры
28.12.2011
Лазерный съем информации
Лазерный съем информации
Все видео
Документы для скачивания
29.12.2011
Шаблон "Положение об обработке ПДн работников"
29.12.2011
Шаблон "Перечень подразделений и сотрудников допущенных к обработке ПДн"
02.01.2012
Типовые требования ФСБ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
Все документы