Лекция 1: Обзор наиболее важных стандартов и спецификаций в области информационной безопасности
жүктеу/скачать 0.51 Mb.
|
| Рис. 5.1. Понятия, используемые при оценке, и их взаимосвязь.
По стандарту ИСО/МЭК 15408 признают два типа оценки: оценка ЗБ/ОО и оценка ПЗ, которая определяется в ИСО/МЭК 15408-3. Профиль защиты - независимое от реализации изложение потребностей в безопасности для некоторого типа ОО. Задание по безопасности - зависимое от реализации изложение потребностей в безопасности для конкретного идентифицированного ОО. По ИСО/МЭК 15408 оценка ЗБ/ОО проходит в два этапа: оценка ЗБ: на этом этапе определяют достаточность ОО и среды функционирования; оценка ОО: на этом этапе определяют корректность ОО; как отмечалось ранее, оценка ОО не включает оценку корректности среды функционирования. Оценку ЗБ выполняют путем применения критериев оценки заданий по безопасности (которые определены в разделе ASE ИСО/МЭК 15408-3). Конкретный способ применения критериев ASE определяется используемой методологией оценки. В то время как ЗБ всегда описывает конкретный ОО (например, межсетевой экран Х-2, версия 3.1), ПЗ предназначен для описания типа ОО (например, межсетевые экраны прикладного уровня). Поэтому один и тот же ПЗ можно использовать в качестве шаблона для множества различных ЗБ, которые будут использовать в различных оценках. Подробное описание ПЗ приведено в приложении В. Обычно ЗБ описывает требования для ОО и его формирует разработчик ОО, в то время как ПЗ описывает общие требования для некоторого типа ОО и поэтому обычно разрабатывается: сообществом пользователей, стремящихся прийти к консенсусу относительно требований для данного типа ОО; разработчиком ОО или группой разработчиков подобных ОО, желающих установить минимальный базис для конкретного типа ОО; правительственной организацией или крупной корпорацией, определяющими свои требования как часть процесса закупки. Задание по безопасности либо соответствует рассматриваемому ПЗ, либо не соответствует. ИСО/МЭК 15408 не признает "частичное" соответствие. В стандарте приведены содержания ПЗ и ЗБ. В ОК нет готовых классов защиты. Сформировать классификацию в терминах "Общих критериев" - значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования жүктеу/скачать 0.51 Mb. Достарыңызбен бөлісу:
|