Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий

Содержание

Слайд 2

Область применения

Данная часть ИСО/МЭК 15408 определяет требования доверия ИСО/МЭК 15408 и включает

Область применения Данная часть ИСО/МЭК 15408 определяет требования доверия ИСО/МЭК 15408 и
оценочные уровни доверия (ОУД), определяющие шкалу для измерения доверия для ОО-компонентов, составные пакеты доверия (СоПД), определяющие шкалу для измерения доверия для составных ОО, отдельные компоненты доверия, из которых составлены уровни и пакеты доверия, а также критерии для оценки ПЗ и ЗБ.

Слайд 3

Основные принципы

Основные принципы ИСО/МЭК 15408 состоят в том, что следует четко

Основные принципы Основные принципы ИСО/МЭК 15408 состоят в том, что следует четко
сформулировать угрозы безопасности и положения политики безопасности организации, а достаточность предложенных мер безопасности должна быть продемонстрирована. Более того, следует принять меры по уменьшению вероятности наличия уязвимостей, возможности их проявления (т.е. преднамеренного использования или непреднамеренной активизации), а также степени ущерба, который может явиться следствием проявления уязвимости. Дополнительно следует предпринять меры для облегчения последующей идентификации уязвимостей, а также по их устранению, ослаблению и/или оповещению об их использовании или активизации.

Слайд 4

Подход к доверию

Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на оценке

Подход к доверию Основная концепция ИСО/МЭК 15408 - обеспечение доверия, основанное на
(активном исследовании) продукта ИТ, который должен соответствовать определенным критериям безопасности. Оценка была традиционным способом обеспечения доверия и являлась основой предшествующих критериев оценки. Для согласования с существующими подходами в ИСО/МЭК 15408 принят тот же самый основной принцип. В ИСО/МЭК 15408 предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.

Основные принципы ИСО/МЭК 15408 содержат утверждение, что большее доверие является результатом приложения больших усилий при оценке, и что цель состоит в применении минимальных усилий, требуемых для обеспечения необходимого уровня доверия. Повышение уровня усилий может быть основано на:
области охвата, т.е. увеличении рассматриваемой части продукта ИТ;
глубине, т.е. детализации рассматриваемых проектных материалов и реализации;
строгости, т.е. применении более структурированного и формального подхода.

Слайд 5

Причины уязвимостей

Уязвимости могут возникать из-за недостатков:
требований, т.е. продукт ИТ может обладать требуемыми

Причины уязвимостей Уязвимости могут возникать из-за недостатков: требований, т.е. продукт ИТ может
от него функциями и свойствами, но все же содержать уязвимости, которые делают его непригодным или неэффективным в части безопасности;
проектирования, т.е. продукт ИТ не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;
эксплуатации, т.е. продукт ИТ разработан в полном соответствии с корректной спецификацией, но уязвимости возникают как результат неадекватного управления при эксплуатации.

Слайд 6

Структура классов, семейств и компонентов доверия к безопасности

Иерархическая структура представления требований доверия:

Структура классов, семейств и компонентов доверия к безопасности Иерархическая структура представления требований
класс-семейство-компонент-элемент

Структура компонента доверия

Слайд 7

Структура ОУД

Для каждого ОУД выбран набор компонентов требований доверия. Более высокий уровень

Структура ОУД Для каждого ОУД выбран набор компонентов требований доверия. Более высокий
доверия, чем предоставляемый конкретным ОУД, может быть достигнут:
a) включением дополнительных компонентов требований доверия из других семейств доверия или
b) заменой компонента требований доверия иерархичным компонентом из этого же семейства требований доверия.

Слайд 8

Взаимосвязь между требованиями и уровнями доверия

Компоненты доверия состоят из элементов, но на

Взаимосвязь между требованиями и уровнями доверия Компоненты доверия состоят из элементов, но
последние в отдельности не могут ссылаться оценочные уровни доверия. Стрелка на рисунке отображает ссылку в ОУД на компонент требований доверия внутри класса, в котором он определен.

Слайд 9

Структура СоПД

Структура СоПД аналогична структуре ОУД. Ключевое различие двух структур состоит в

Структура СоПД Структура СоПД аналогична структуре ОУД. Ключевое различие двух структур состоит
типе ОО, к которым они применяются; ОУД применяется к ОО-компонентам, а СоПД - ко всему составному ОО в целом.

Слайд 10

Обзор оценочных уровней доверия (ОУД)

Столбцы таблицы представляют иерархически упорядоченный набор ОУД, а

Обзор оценочных уровней доверия (ОУД) Столбцы таблицы представляют иерархически упорядоченный набор ОУД,
строки - семейства доверия. Каждый номер в образованной ими матрице идентифицирует конкретный компонент доверия, применяемый в данном случае.

Слайд 11

Обзор оценочных уровней доверия (ОУД)

Обзор оценочных уровней доверия (ОУД)

Слайд 12

Уровень доверия 1

Уровень доверия 1

Слайд 13

Уровень доверия 2

Уровень доверия 2

Слайд 14

Уровень доверия 3

Уровень доверия 3

Слайд 15

Уровень доверия 4

Уровень доверия 4

Слайд 16

Уровень доверия 5

Уровень доверия 5

Слайд 17

Уровень доверия 6

Уровень доверия 6

Слайд 18

Уровень доверия 7

Уровень доверия 7

Слайд 19

Семейства класса APE, ASE и иерархия компонентов в семействах

Семейства класса APE, ASE и иерархия компонентов в семействах

Слайд 20

Семейства класса ADV и иерархия компонентов в семействах, их взаимодействие

Семейства класса ADV и иерархия компонентов в семействах, их взаимодействие

Слайд 21

Семейства класса AGD, ALC и иерархия компонентов в семействах

Семейства класса AGD, ALC и иерархия компонентов в семействах

Слайд 22

Семейства классов ATE, AVE и иерархия компонентов в семействах

Семейства классов ATE, AVE и иерархия компонентов в семействах

Слайд 23

Семейства класса ASO и иерархия компонентов в семействах, взаимодействие с другими классами

Семейства

Семейства класса ASO и иерархия компонентов в семействах, взаимодействие с другими классами Семейства ASO Компоненты ASO
ASO

Компоненты ASO

Имя файла: Методы-и-средства-обеспечения-безопасности.-Критерии-оценки-безопасности-информационных-технологий.pptx
Количество просмотров: 33
Количество скачиваний: 0