Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Европейские критерии безопасности информационных технологий.




Читайте также:
  1. CASE -технологии, как новые средства для проектирования ИС. CASE - пакет фирмы PLATINUM, его состав и назначение. Критерии оценки и выбора CASE - средств.
  2. CASE-технология создания информационных систем
  3. II. Слагаемые понятия безопасности
  4. Iгруппа – Критерии основанные на дисконтированных оценках, т.е учитывают фактор времени:NPV,PI, IRR,DPP.
  5. V (пятая) группа по электробезопасности
  6. VI. Последовательная и предсказуемая внешняя политика – продвижение национальных интересов и укрепление региональной и глобальной безопасности
  7. А.1. - ПБ 115.1. Подготовка и аттестация руководителей и специалистов организаций по основам промышленной безопасности
  8. Административно-правовое регулирование отношений в области безопасности РФ.
  9. Анализ зоны безопасности предприятия
  10. Аудит системы информационной безопасности на объекте как основание для подготовки организационных и правовых мероприятий. Его критерии, формы и методы.

Набор функций безопасности может специфициро­ваться с использованием ссылок на заранее определен­ные классы-шаблоны. В «Европейских критериях» таких классов десять. Пять из них (F-C1, F-C2, F-B1. F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги» с аналогичными обозначениями. Рассмотрим подробнее другие пять классов, так как их требования отражают точку зрения разработчиков стандарты на проблему безопасности.

Класс F-INпредназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных. Его описание основано на концепции «ролей», соответствующих видам деятельности пользователей, и предоставлении доступа к определенным объемам только посредством доверен­ных процессов. Должны различаться следующие виды доступа: чтение, запись, добавление, удаление, создание. переименование и выполнение объектов

Класс F-AV характеризуется повышенными трe6oваниями к обеспечению работоспособности. Это существенно, например, для систем управления технологическими процессами В требованиях этого класса указывается, что система должна восстанавливаться после отказа отдельного аппаратного компонента таким об­разом, чтобы все критически важные функции постоян­но оставались доступными. В таком же режиме должна происходить и замена компонентов системы. Незави­симо от уровня загрузки должно гарантироваться оп­ределенное время реакции системы на внешние собы­тия.

Класс F-DI ориентирован на распределенные систе­мы обработки информации. Перед началом обмена и при получении данных стороны должны иметь возмож­ность провести идентификацию участников взаимодействия и проверить ее подлинность. Должны использоваться средства контроля и исправления ошибок. В ча­стности, при пересылке данных должны обнаруживать­ся все случайные или намеренные искажения адресной и пользовательской информации. Знание алгоритма об­наружения искажений не должно позволять злоумыш­леннику производить нелегальную модификацию пере­даваемых данных. Должны обнаруживаться попытки повторной передачи ранее переданных сообщений.

Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации. Ин­формация по канатам связи должна передаваться в за­шифрованном виде. Ключи шифрования должны быть защищены от несанкционированного доступа.



Класс F-DX предъявляет повышенные требования и к целостности и к конфиденциальности информации. Его можно рассматривать как объединение классов F-DI и F-DC с дополнительными возможностями шифрования и защиты от анализа трафика. Должен быть ограничен доступ к ранее переданной информации, которая, в принципе может способствовать проведению крипто­анализа.

«Европейские критерии» определяют семь уровней адекватности -— от Е0 до Е6 (в порядке её возрастания). Уровень ЕО обозначает минимальную адекватность (аналог уровня D «Оранжевой книги»). При проверке адекватности анализируется весь жизненный цикл сис­темы от начальной фазы проектирования до экс­плуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тща­тельности контроля. Так, на уровне Е1 анализируется лишь общая архитектура системы, а адекватность средств защиты подтверждается функциональным тес­тированием. На уровне ЕЗ к анализу привлекаются ис­ходные тексты программ и схемы аппаратного обеспе­чения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.



Главное достижение этого документ — введение понятия адекватности средств защиты и определение отдельной шкалы для критериев адекватности. Как уже упоминалось. «Европейские критерии» придают адек­ватности средств защиты даже большее значение, чем их функциональности. Этот подход используется во многих появившихся позднее стандартах информационной безо­пасности.

Необходимо отметить, что «Европейские критерии» тесно связаны с «Оранжевой книгой», что делает их не вполне самостоятельным документом.


Дата добавления: 2015-04-18; просмотров: 6; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2022 год. (0.008 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты