Канадские критерии безопасности

Цель разработки

Единая шкала критериев
Основа для разработки спецификаций безопасных компьютерных систем
Средства для описания

Все компоненты системы, находящиеся под управлением ТСВ называются объектами.

Объект-пользователь

Объект-процесс

Пассивный объект

Объект

Пользователь - физическое лицо, взаимодействующее с системой
Процесс— программа, выполнение которой инициировано пользователем.
Объект

Оранжевая книга

Канадские критерии

Соответствие «Оранжевой книги» и «Канадских критериев безопасности»

Основные положения и структура "Канадских критериев"

Требования безопасности представлены в виде:

функциональных требований к средствам защиты
требований к адекватности их

Функциональные критерии

Критерии конфиденциальности

Критерии целостности

Критерии работоспособности

Критерии аудита

Внутри каждой группы функциональных критериев определены уровни безопасности, отражающие возможности средств защиты

Критерии адекватности определяют требования к процессу проектирования и разработки компьютерной системы.
Рассматриваются

Критерии адекватности

Архитектура системы
Среда разработки
Контроль процесса разработки
Поставка и сопровождение
Документация
Тестирование безопасности

Приложения к «Канадским критериям» включают в себя

описание предложенной концепции
руководства по применению критериев

Выводы

Впервые отделены функциональные требования от требований адекватности
Используется независимое ранжирование требований по

Конец лекции 8

Единые критерии безопасности

1999г

Цель разработки:

Объединить основные положения «Европейских критериев», «Федеральных критериев» и «Канадских критериев»

«Единые критерии» удовлетворяют запросы трех групп специалистов:

потребителей продуктов ИТ
Производителей
экспертов по квалификации уровня

В концепцию "Единых критериев" входят все аспекты процесса проектирования, производства и эксплуатации

Основные положения

Задачи защиты — выражает потребность потребителей ИТ-продукта в противостоянии заданному множеству

Профиль защиты — специальный нормативный документ, представляющий собой совокупность:
Задач защиты,
функциональных требований,

Проект защиты — специальный нормативный документ, представляющий собой совокупность:
Задач защиты,
функциональных

Профиль защиты и спецификации средств защиты составляют Проект защиты, который и

Для проведения квалификационного анализа разработчик продукта должен представить:
Профиль защиты;
Проект защиты;
обоснования и подтверждения

Процесс квалификационного анализа включает три стадии:

Анализ Профиля защиты
Анализ Проекта защиты.
Анализ ИТ-продукта на

Результат квалификационного анализа –
заключение о том, что ИТ-продукт соответствует представленному Проекту

Профиль защиты

Определяет требования безопасности к определенной категории ИТ-продуктов

Введение - информация, необходимая для поиска профиля защиты
Идентификатор - уникальное имя

Основные требования

Функциональные требования
Требования адекватности
Требования к среде эксплуатации