Каталог средств ЗИ
Весь каталог

Общие критерии, основные изменения



В классе AVA ("АНАЛИЗ УЯЗВИМОСТЕЙ") в семействе AVA_MSU ("Неправильное применение") добавлен третий компонент, предусматривающий дополнительное выполнение Оценщиком независимого тестирования (типа атаки) для подтверждения идентификации в тестовой документации всех возможных опасных состояний. В семействе AVA_SOF ("Сила функций безопасности объекта оценки") исключено описание ранжирования силы функции на "базовую", "среднюю" и "высокую" и введено требование оценки соответствия силы функции безопасности, заданной в Задании по безопасности или Профиле защиты.

В свою очередь, требования к Профилю защиты (класс APE) и Заданию по безопасности (класс ASE) теперь предусматривают необходимость включения в функциональные требования минимального уровня силы для функций безопасности, реализуемых механизмами случайной выборки или перестановки (например, паролирование или хэш-функции). Уровень определяется как "базовый", "средний" или "высокий" в зависимости от целей безопасности объекта оценки. Для некоторых целей безопасности возможно применение специфических метрик силы функции. Если в требованиях гарантированности используется уровень гарантии оценки УГО-1, который не включает компонента семейства AVA_SOF, сила функций безопасности в функциональных требованиях не задается.

Кроме того, в Профиле защиты предусмотрена возможность использования не только функциональных требований из части 2 Общих критериев, но, при необходимости, и обоснованных дополнительных требований.

В классе AGD ("ДОКУМЕНТЫ РУКОВОДСТВА") в семействе AGD_ADM требования к Руководству администратора представлены в более общем виде.

Версия 2.0 "Общих критериев оценки безопасности информационных технологий" представлена в ИСО в качестве проекта международного стандарта. Официальный документ ИСО планируется к выпуску в первом полугодии 1999 года.

ЗАКЛЮЧЕНИЕ

"Критерии безопасности компьютерных систем" МО США явились первой попыткой создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. "Оранжевая книга" послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор, с учетом дополнений и пояснений, используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации. Слабым местом "Оранжевой книги" является недостаточное внимание требованиям гарантии оценки.

В "Европейских критериях" впервые вводится понятие гарантированности и шкала для критериев гарантированности - уровни гарантии. "Европейские критерии" придают требованиям гарантированности даже большее значение, чем функциональным требованиям. "Европейские критерии" полностью принимают классы безопасности "Оранжевой книги" и вводят еще пять дополнительных классов.

"Канадские критерии оценки безопасности компьютерных систем" явились первым стандартом информационной безопасности, в котором на уровне структуры документа функциональные требования к средствам защиты отделены от требований гарантии оценки (адекватности реализации). В "Канадских критериях" отвергается подход к оценке уровня безопасности с помощью универсальной шкалы и используется независимое ранжирование требований по каждому разделу, обеспечивающее гибкость в подходе к оценке безопасности различных типов изделий и систем.

"Федеральные критерии безопасности информационных технологий" являются по сравнению с "Оранжевой книгой" стандартом нового поколения. "Федеральные критерии" являются первым стандартом информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа(сертификации). Авторами стандарта впервые предложена концепция Профиля защиты - документа, содержащего описание всех требований безопасности как к самому продукту информационной технологии, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа. Разработчики "Федеральных критериев" также отказались от используемого в "Оранжевой книге" подхода к оценке уровня безопасности изделия ИТ на основе обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т.е. используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Такой подход позволяет разработчикам и потребителям изделия ИТ выбрать наиболее приемлемое решение и определить необходимый и достаточный набор требований для каждого конкретного продукта ИТ и среды его эксплуатации.

Страницы: 1 2 3 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
Вопрос специалисту
Видео
28.12.2011
Перехват информативного сигнала клавиатуры
Перехват информативного сигнала клавиатуры
28.12.2011
Лазерный съем информации
Лазерный съем информации
Все видео
Документы для скачивания
29.12.2011
Шаблон "Перечень подразделений и сотрудников допущенных к обработке ПДн"
29.12.2011
Шаблон "Частная Модель угроз"
02.01.2012
Типовые требования ФСБ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
Все документы