Общие критерии, основные изменения

Рабочая группа 3 подкомиссии 27 Международной организации по стандартизации (ИСО) завершила разработку версии 2.0 "Общих критериев оценки безопасности информационных технологий".

Во второй версии Общих критериев сохранены основные концептуальные положения версии 1.0. Изменения коснулись структуры всего документа, некоторых классов, семейств и компонентов требований безопасности.

В версии 2.0 Общих критериев остались только три части:

часть 1 - "ПРЕДСТАВЛЕНИЕ И ОБЩАЯ МОДЕЛЬ";

часть 2 - "ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ";

часть 3 - "ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ".

Часть 4 "ПРЕДОПРЕДЕЛЕННЫЕ ПРОФИЛИ ЗАЩИТЫ" вынесена за пределы проекта стандарта, что логично, учитывая постоянные дополнения каталога Профилей защиты.

В разделе "ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ" (часть 2) появились два новых класса: FCS ("КРИПТОГРАФИЧЕСКАЯ ПОДДЕРЖКА") и FMT ("УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ").

Класс FCS был анонсирован еще в версии 1.0. Он включает два семейства: FCS_CKM ("Управление криптографическими ключами") и FCS_COP ("Криптографические операции").

Класс FMT явился результатом перегруппировки требований, связанных с управлением безопасностью объекта оценки. В него вошли семейства: FMT_MOF ("Управление функциями безопасности объекта оценки"), FMT_MSA ("Управление признаками безопасности"), FMT_MTD ("Управление данными функций безопасности"), FMT_REV ("Аннулирование"), FMT_SAE ("Истечение признака безопасности") и FMT_SMR ("Функции управления безопасностью").

Существенно изменились структура и содержание классов FAU ("Аудит безопасности"), FDP ("Защита данных пользователя") и FIA ("Идентификация и аутентификация").

В классе FAU исключено шесть семейств: FAU_MGT ("Управление аудитом безопасности"), FAU_POP ("Обработка сохраняемых данных аудита безопасности"), FAU_PRO ("Защита трассы контроля безопасности"),FAU_PRP ("Обработка данных аудита безопасности до хранения") - их требования сгруппированы в близких по назначению других модернизированных семействах этого же класса; FAU_PAD ("Обнаружение аномалии по базовому образцу"), FAU_PIT ("Средства идентификации проникновения") - их требования сгруппированы в модернизированном и дополненном еще двумя компонентами семействе FAU_SAA ("Анализ аудита безопасности").

В классе FDP исключены три семейства: FDP_ACI ("Инициализация признаков объекта"), FDP_SAM ("Модификация признаков безопасности"), FDP_SAQ ("Запрос признака безопасности") - их требования сгруппированы в новом классе FMT, а также добавлено новое семейство FDP_DAV ("Аутентификация данных"). Это семейство, состоящее из двух компонентов: FDP_DAU.1 ("Базисная аутентификация данных") и FDP_DAU.2 ("Аутентификация данных с идентификацией гаранта"), требует обеспечения гарантий проверки правильности специфицированного модуля данных, которые впоследствии могут быть использованы для проверки того, что, например, информация не была изменена или подделана. Это - своего рода нотаризация данных, но, в отличие от нотаризации при обмене данными в сетевых конфигурациях (класс FCO), применяемая для "статических" данных.

В классе FIA исключены семейства: FIA_ADA ("Администрация данных аутентификации пользователей"), FIA_ADP ("Защита данных аутентификации пользователей") и FIA_ATA ("Администрирование признака пользователя") - их основные требования сгруппированы в соответствующих семействах нового класса FMT.

Незначительные изменения претерпели остальные классы функциональных требований.

В разделе "ТРЕБОВАНИЯ ГАРАНТИРОВАННОСТИ" (часть 3) в классе ADV ("РАЗРАБОТКА") выделены в отдельное семейство ADV_SPM ("Модель политики безопасности") требования к модели политики безопасности объекта оценки.

В классе ATE ("ТЕСТИРОВАНИЕ") в семействе ATE_FUN ("Функциональное тестирование") появился дополнительный компонент ATE_FUN.2 ("Упорядоченное функциональное тестирование"), используемый в уровнях гарантии оценки УГО-6 и УГО-7 и требующий включения в тестовую документацию анализа последовательности процедур тестирования, входивших ранее в компонент ATE_COV.3.

Страницы: 1 2 3 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе