Стандарты информационной безопасности


Основные понятия и классификация требований доверия безопасности


Требования доверия безопасности составляют содержание третьей части "Общих критериев".

Доверие в трактовке "Общих критериев" - это основа для уверенности в том, что изделие ИТ отвечает целям безопасности.   Доверие обеспечивается через активное исследование (оценку) изделия ИТ.

Требования доверия безопасности охватывают весь жизненный цикл изделий ИТ и предполагают выполнение следующих действий:

  • оцениваются задания по безопасности (ЗБ) и профили защиты (ПЗ), ставшие источниками требований безопасности;
  • анализируются различные представления проекта объекта оценки и соответствие между ними, а также соответствие каждого из них требованиям безопасности;
  • проверяются процессы и процедуры безопасности, их применение;
  • анализируется документация;
  • верифицируются представленные доказательства;
  • анализируются тесты и их результаты;
  • анализируются уязвимости объекта оценки;
  • проводится независимое тестирование, в том числе тестовые "взломы" (называемые далее тестированием проникновения).

Каждое требование (элемент) доверия принадлежит одному из трех типов:

  • элементы действий разработчика (помечаются буквой "D" после номера элемента); эти действия должны подтверждаться доказательным материалом (свидетельствами);
  • элементы представления и содержания свидетельств (помечаются буквой "C");
  • элементы действий оценщика (помечаются буквой "E"); оценщики обязаны проверить представленные разработчиками свидетельства, а также выполнить необходимые дополнительные действия (например, провести независимое тестирование).

Требования доверия разделены на 10 классов, 44 семейства и 93 компонента. Классы можно сгруппировать в зависимости от охватываемых этапов жизненного цикла изделий ИТ.

К первой группе, логически предшествующей разработке и оценке ОО, принадлежат классы APE (оценка профиля защиты) и ASE (оценка задания по безопасности).

Во вторую группу входят классы ADV (разработка), ALC (поддержка жизненного цикла) и ACM (управление конфигурацией).




Начало    Вперед



Книжный магазин