Класи безпеки комп'ютерних систем. Міжнародний стандарт iso/iec 15408

Зміст

Сучасні комп`ютерні системи оснащені певними способами захисту інформації від сторонніх і зловмисників. Без неї неможливо уявити жодну програму або цілий комплекс інформаційних технологій. Класи безпеки необхідні комп`ютерним системам, оскільки все більше особистих даних користувачів та інтелектуальної власності опиняються в мережі, і ступінь їх захисту безпосередньо впливає на життя людей. У зв`язку з цим слід розглянути існуючі види захисту інформації.

Загальні відомості

Завдяки проведенню стандартизації і систематизації вимог і характеристик інформаційних комплексів із захистом, з`явилася система національних і міжнародних стандартів в області захисту і безпеки інформації, в яку входить більше сотні документів. Одне з основних місць в цій системі займає стандарт ISO IEC 15408, по-іншому званий Common Criteria.

засіб забезпечення комп`ютерної безпеки

Історія

Початок створення міжнародного стандарту з оцінки безпеки і класів безпеки почалося в 1990 році Міжнародною організацією по стандартизації. У розробці брали участь США, Канада, Німеччина, Англія і Франція. Розробка велася десятиліття кращими фахівцями у світі, і не раз піддавався редагуванню. Затвердження стандарту версії 2.1 сталося 8 червня 1999 року. Загальна назва Common Criteria, або "Загальні критерії оцінки безпеки інформаційних систем".

Створений "Загальні критерії" об`єднали знання і досвід у використанні "Помаранчевої книги", просунули європейські та канадські критерії безпеки систем і створили реальну структуру профілів захисту федеральних критеріїв США.

Зміст

У Загальних положеннях класифіковано широкий набір вимог до засобів забезпечення комп`ютерної безпеки, визначено структуру угруповання та способи використання. Головною перевагою цієї системи стало повне виклад вимог до безпеки і їх упорядкування, гнучкість у використанні і можливості для подальшого просування. Головні світові виробники технологій того часу відразу створили і поставили замовникам засоби, що відповідають вимогам загальних критеріїв.

комп`ютерна безпека

Їх розробка була виконана для задоволення наступних груп фахівців: виробники, споживачі ІТ продуктів і експертів в оцінці рівня безпеки технологій. Введений стандарт забезпечив опору для вибору інформаційних продуктів, які повинні виконувати вимоги щодо функціонування в умовах загрози безпеці, і служать опорою для розробників систем безпеки цих продуктів. Також регламентована технологія створення подібних систем і оцінки досягнутого рівня безпеки.

З введенням критеріїв, інформаційна безпека розглядається як сукупність цілісності та конфіденційності даних, які обробляє інформаційний продукт, і ставлять за мету щодо захисту продукту і протидії загрозам, які можуть бути актуальні при експлуатації певного продукту. З цього випливає, що в об`єднані критерії включені всі частини проектування, створення та використання інформаційних продуктів, які працюють в умовах певних загроз для безпеки.

Структура

У названий стандарт ISO 15408 входять три частини:

  • Введення та загальне уявлення.
  • Функціональні вимоги до безпеки.
  • Вимоги гарантованості безпеки.

З цього списку стає зрозуміло, що загальними критеріями передбачено два типи вимог до захисту інформації: функціональні та гарантовані. Перші мають відношення до сервісів безпеки, які включають аутентифікацію, ідентифікацію, управління доступом, аудит та інше. Гарантованість включає технологію розробки, тестування, аналізу вразливості, експлуатації, супроводу та інше.

критерії визначення безпеки комп`ютерних систем

Всі класи безпеки і вимоги до них мають загальний стиль і організовані в ієрархію. Між ними можуть існувати залежності за умови недостатності можливостей компонента для виконання мети безпеки і необхідності в наявності іншого компонента.

Моделі загроз

Для ефективного використання і розробки профілю безпеки, в процесі його створення, виконується аналіз всіх загроз, які можуть бути здійсненні щодо технології цієї групи. Під час цього складаються моделі загроз, які включають в себе наступне:

  • життєвий цикл загрози;
  • напрямок загрози;
  • джерело;
  • схильні до загрози системи;
  • активи, що потребують захисту;
  • методи та алгоритми реалізації загрози;
  • можливі проблеми;
  • ризики та інші аспекти.
стандарт iso IEC 15408

Проектування моделі загроз

Недостатньо просто припустити, які небезпеки можуть очікувати створювану систему. До того ж в даний час їх число величезне і забезпечення захисту від усіх зажадає багато часу і коштів. У зв`язку з чим встановлюється загальний перелік можливих небезпек, актуальних для систем в заданій області, на підставі яких в подальшому будуть встановлені критерії визначення безпеки комп`ютерних систем цього типу.

помаранчева книга

Процедура створення моделі загроз схожа з виконання аналізу ризиків. Так, в процесі опису загроз від навмисної діяльності людини, оцінюється формат джерела за способами реалізації загрози і ймовірність її реалізації.

Класи безпеки

Стандартом визначається функція безпеки як частини системи, на якій лежить реалізація підмножини правил їх політики безпеки. У функції безпеки додається стійкість-характеристика, що повідомляє про мінімальний необхідний вплив на її безпеку, при якому порушиться політика безпеки цієї функції. Її значення бувають наступні:

  • Базовий. Функція гарантує безпеку від випадкових порушень, за умови, що порушник має низький потенціал нападу.
  • Середня. Забезпечується захист від цілеспрямованих порушень безпеки порушниками з помірним показником нападу.
  • Високий. Гарантує захист від спланованих і організованих порушень від зловмисників з високим рівнем навичок.
Захист інформації

Також є окрема схема з визначення потенціалу нападу, в якій враховуються певні фактори:

  1. При визначенні вразливості:
      Час, необхідний для ідентифікації проблеми. Рівень необхідної підготовки. Наявність знань про проект та його функціонування. Програмні засоби та інше обладнання.
  2. При використанні:
      Час, витрачений на використання проблеми. Рівень підготовки. Знайомство з проектом функціонування. Необхідні програмні продукти.

Захист комп`ютерних систем основне завдання будь-якого програмного продукту, що відповідає за комп`ютерну безпеку. При цьому якість виконання цієї функції і відомості про загрози, яким система може протистояти, має свою класифікацію, заздалегідь затверджена ще на етапі розробки. Завдяки чому комп`ютерна безпека має високі показники якості.

Статті на тему
Класифікація ас. Забезпечення інформаційної безпеки автоматизованих систем Класифікація ас. Забезпечення інформаційної безпеки автоматизованих систем
«Система» віндовс захистила ваш комп'ютер: як відключити появу цього повідомлення? Найпростіші методи «Система» віндовс захистила ваш комп'ютер: як відключити появу цього повідомлення? Найпростіші методи
Національна система стандартизації: склад і особливості, функції і завдання, головні документи Національна система стандартизації: склад і особливості, функції і завдання, головні документи
Поняття, цілі та завдання інформаційної безпеки Поняття, цілі та завдання інформаційної безпеки
Як видалити операційну систему з комп'ютера: покрокова інструкція Як видалити операційну систему з комп'ютера: покрокова інструкція
Діелектричні боти: державний стандарт, випробування та техніка безпеки Діелектричні боти: державний стандарт, випробування та техніка безпеки
Як заблокувати комп'ютер від дитини: способи і рекомендації Як заблокувати комп'ютер від дитини: способи і рекомендації
Для чого потрібна материнська плата в комп'ютері? Як дізнатися, яка материнка стоїть в комп'ютері? Для чого потрібна материнська плата в комп'ютері? Як дізнатися, яка материнка стоїть в комп'ютері?
Як подивитися жорсткий диск в біосе на комп'ютері: інструкція перевірки Як подивитися жорсткий диск в біосе на комп'ютері: інструкція перевірки