Съдържание
Съвременните компютърни системи са оборудвани с определени начини за защита на информацията от външни лица и нарушители. Без него е невъзможно да си представим програма или цял набор от информационни технологии. Класовете за сигурност са необходими за компютърните системи, тъй като все повече лични данни и интелектуална собственост на потребителите се намират в мрежата, а степента на защита има пряко въздействие върху живота на хората. В тази връзка трябва да разгледаме съществуващите класове за информационна сигурност.
Обща информация
Благодарение на стандартизацията и систематизацията на изискванията и характеристиките на информационните системи със защита, се създава система от национални и международни стандарти в областта на защитата и информационна сигурност, която включва повече от сто документа. ISO IEC 15408, известен още като Общите критерии, заема ключово място в тази система.
История
Започнат през 1990 г., международен стандарт за оценка на безопасността и класове за безопасност Международна организация относно стандартизацията. САЩ, Канада, Германия, Англия и Франция участваха в разработването на. развитие е десетилетие с най-добрите експерти в света и е редактиран повече от веднъж. Приемане на версия 2 на стандарта.1 се състоя на 8 юни 1999 г. Common Criteria, или "Общи критерии за оценка на сигурността на информационните системи".
създаден от "Общи критерии" събра знания и опит в използването на "Оранжева книга", популяризиране на европейските и канадските критерии за сигурност на системите и създаване на реална структура на профила за защита на федералните критерии на САЩ.
Съдържание
Общите разпоредби категоризират широк спектър от изисквания към инструментите за компютърна сигурност, определят структурата на групиране и начина, по който те трябва да се използват. Основното предимство на тази система е пълното формулиране на изискванията за сигурност и тяхното подреждане, гъвкавостта при използване и възможностите за по-нататъшно усъвършенстване. Най-големите световни доставчици на технологии по това време незабавно създадоха и предоставиха на клиентите инструментите, от които се нуждаеха, за да отговорят на общите критерии.
Те са разработени така, че да удовлетворяват следните групи специалисти: производители, потребители на ИТ продукти и експерти по оценка на нивото на сигурност на технологиите. Въведеният стандарт е ориентир за избор на информационни продукти, които трябва да отговарят на изискванията за функциониране в среда на заплаха за сигурността, и осигурява подкрепа за проектантите на системи за сигурност за тези продукти. Технологията за изграждане на такива системи и оценка на постигнатото ниво на сигурност също е регулирана.
С въвеждането на критериите, информационна сигурност се разглеждат като съвкупност от целостта и поверителността на данните, обработвани от даден информационен продукт, и имат за цел да защитят продукта и да противодействат на заплахите, които могат да бъдат от значение при функционирането на конкретния продукт. От това следва, че комбинираните критерии включват всички части Проектиране, създаване и използване на информационни продукти, които работят при специфични заплахи за сигурността.
Структура
Стандартът ISO 15408 се състои от три части:
- Въведение и общо представяне.
- Изисквания за функционална безопасност.
- Изисквания за цялостност на безопасността.
От този списък става ясно, които са често срещани два вида изисквания за информационна сигурност: функционални и изисквания за сигурност. Първата е свързана с услуги за сигурност, които включват удостоверяване, идентификация, контрол на достъпа, одит и др. Осигуряването включва технологията за разработка, тестване, анализ на уязвимостта, експлоатация, поддръжка и др.
Всички класове и изисквания за сигурност имат общ стил и са организирани в йерархия. Възможно е да съществуват зависимости между тях, при условие че капацитетът на даден компонент е недостатъчен за постигане на целта за сигурност и е необходим друг компонент.
Модели на заплахи
За ефективното използване и разработване на профил за сигурност в процеса на създаването му се анализират всички заплахи, които биха могли да бъдат осъществими по отношение на технологията от тази група. По време на този процес се изготвят модели на заплахи, които включват следното:
- Жизнен цикъл на заплахата;
- посоката на заплахата;
- източник;
- системите, изложени на заплахата;
- активи, които се нуждаят от защита;
- методи и алгоритми за изпълнение на заплахата;
- възможни проблеми;
- рискове и други аспекти.
Проектиране на модел на заплаха
Не е достатъчно просто да се предположи какви опасности могат да очакват създаваната система. Освен това броят им вече е огромен и осигуряването на защита срещу всички тях ще изисква много време и средства. Във връзка с това се изготвя общ списък на възможните опасности, свързани със системите в дадена област, въз основа на който в бъдеще ще бъдат установени критериите за определяне на сигурността на компютърните системи от този тип.
Процедурата за създаване на модел на заплаха е подобна на тази за извършване на анализ на риска. Например в процеса на описване на заплахите от преднамерена човешка дейност се оценява формата на източника по отношение на начина, по който заплахата може да се реализира, и вероятността за нейното реализиране.
Класове за сигурност
Стандартът определя функцията за сигурност като част от системата, която изпълнява подмножество от правилата на политиката за сигурност. Към функцията за сигурност се добавя устойчивост - характеристика, която отчита минималното необходимо въздействие върху нейната сигурност, който Нарушена е политиката за сигурност на функцията. Стойностите му са следните:
- Основен. Гарантира сигурност срещу случайни пробиви, като се предполага, че нападателят има нисък потенциал за атака.
- Среден. Осигурена е защита срещу целенасочени нарушения на сигурността от извършители с умерена честота на атаките.
- Висока. Осигурява защита срещу планирани и организирани прониквания от извършители с високи нива на умения.
Съществува и отделна схема за определяне на потенциала за атака, която взема предвид определени фактори:
- При определяне на уязвимостта:
- Време, необходимо за идентифициране на проблема. Необходимо ниво на обучение. Познаване на проекта и неговото функциониране. Софтуер и друг хардуер.
- Когато се използва:
- Време, необходимо за решаване на проблема. Ниво на обучение. Запознаване с функционалния дизайн. Необходими софтуерни продукти.
Защитата на компютърните системи е основната задача на всеки софтуерен продукт, отговарящ за компютърната сигурност. Качеството на тази функция и информацията за заплахите, на които системата може да устои, имат собствена класификация, предварително одобрена на етапа на разработване. Компютърната сигурност е с високо качество.
Класификация as. Осигуряване на информационна сигурност на автоматизираните системи
Концепция, цели и задачи на информационната сигурност
Международни и национални стандарти за информационна сигурност, технологии
Слоеве на информационната сигурност: концепция, основни принципи, анализ на риска и намаляване на риска
Информационната сигурност е... Описание, съоръжения, мерки за сигурност
Франция през средновековието: хронология на събитията, управление, култура и стандарт на живот
Окабеляване на пожароизвестителна система. Изисквания за пожароизвестителната инсталация
Fidonet - какво е това?? Fidonet е международна, нетърговска, любителска компютърна мрежа
Rsha - дирекция за сигурност на райха: история, структура и ръководство