Лекции по информационной безопасности


         

в ОК рассматривается не статично,


Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:

  • определение назначения, условий применения, целей и требований безопасности;


  • проектирование и разработка;


  • испытания, оценка и сертификация;


  • внедрение и эксплуатация.


  • В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.

    В свою очередь, угрозы характеризуются следующими параметрами:

    • источник угрозы;


    • метод воздействия;


    • уязвимые места, которые могут быть использованы;


    • ресурсы (активы), которые могут пострадать.


    • Уязвимые места могут возникать из-за недостатка в:

      • требованиях безопасности;


      • проектировании;


      • эксплуатации.


      • Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.

        С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент.

        Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).

        Семейства

        в пределах класса различаются по строгости и другим нюансам требований.

        Компонент

        - минимальный набор требований, фигурирующий как целое.

        Элемент

        - неделимое требование.

        Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все комбинации компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы.

        Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.


        Содержание  Назад  Вперед