Klase sigurnosti računarskog sistema. Međunarodni standard iso/iec 15408

Savremeni računarski sistemi opremljeni su određenim načinima zaštite informacija od stranaca i uljeza. Nemoguće je zamisliti bilo koji program ili ceo kompleks informacionih tehnologija bez njega. Sigurnosne klase su neophodne za računarske sisteme, jer je sve više ličnih podataka korisnika i intelektualnog vlasništva na mreži, a stepen njihove zaštite direktno utiče na živote ljudi. U tom smislu, potrebno je uzeti u obzir postojeće vrste zaštite informacija.

Opće informacije

Zahvaljujući standardizaciji i sistematizaciji zahteva i karakteristika informacionih sistema sa zaštitom, sistem nacionalnih i međunarodnih standarda u oblasti zaštite i sigurnost informacija, to uključuje više od stotinu dokumenata. Jedno od glavnih mjesta u ovom sistemu zauzima ISO IEC 15408 standard, inače nazvan zajedničkim kriterijima.

, sredstvo za osiguranje računarske sigurnosti

Historija

Početak stvaranja međunarodnog standarda za procjenu sigurnosti i sigurnosne klase započeo je 1990. godine Međunarodna Organizacija za standardizaciju. U razvoju su učestvovale SAD, Kanada, Njemačka, Engleska i Francuska. Razvoj je bio u toku pojavio se menadžment od strane najboljih specijalista u svijetu, i uređen je više puta. Odobrenje standarda verzije 2.1 dogodio se 8. juna 1999. godine. Zajednički naziv zajednički kriteriji, ili "Opšti kriterijumi za procenu bezbednosti informacionih sistema".

Završeno "Zajednički kriterijumi" kombinovano znanje i iskustvo u korišćenju "The Orange Books", napredovali evropski i kanadski sigurnosni kriteriji sistema i stvorili stvarnu strukturu zaštitnih profila američkih saveznih kriterija.

Sadržaj

Opšte odredbe klasifikuju širok skup zahteva za alate računarske bezbednosti, definišu strukturu grupisanja i metode upotrebe. Glavna prednost ovog sistema bila je potpuna izjava o sigurnosnim zahtjevima i njihovom uređenju, fleksibilnosti u upotrebi i mogućnostima daljeg napredovanja. Vodeći svetski proizvođači tehnologije tog vremena odmah su kreirali i snabdevali kupce alatima koji ispunjavaju zahteve opštih kriterijuma.

računarske sigurnosti

Njihov razvoj je sproveden kako bi se zadovoljile sledeće grupe stručnjaka: proizvođači, potrošači IT proizvoda i stručnjaci za procenu nivoa tehnološke bezbednosti. Uvedeni standard pružio je podršku za odabir informativnih proizvoda koji moraju ispunjavati zahtjeve za funkcioniranje u sigurnosnoj prijetnji i služiti kao podrška programerima sigurnosnih sistema ovih proizvoda. Regulisana je i tehnologija stvaranja ovakvih sistema i procene postignutog nivoa bezbednosti.

Sa uvodom, kriterijuma informacione bezbednosti smatraju se skupom integriteta i povjerljivosti podataka obrađenih od strane informacionog proizvoda i postavljaju cilj zaštite proizvoda i suprotstavljanja prijetnjama koje mogu biti relevantne tokom rada određenog proizvoda. Iz ovoga proizilazi da kombinovani kriterijumi uključuju svi dijelovi dizajna, kreiranja i upotrebe informacionih proizvoda koji funkcionišu pod određenim bezbednosnim pretnjama.

Struktura

Imenovani ISO 15408 standard uključuje tri dijela:

  • Uvod i opšta prezentacija.
  • Funkcionalni sigurnosni zahtjevi.
  • Zahtjevi za sigurnosnu garanciju.

Sa ove liste postaje jasno, to uobičajeno kriteriji predviđaju dvije vrste zahtjeva za sigurnost informacija: funkcionalne i zagarantovane. Prve se odnose na sigurnosne usluge, koje uključuju autentifikaciju, identifikaciju, kontrolu pristupa, reviziju itd. Garancija uključuje tehnologiju razvoja, testiranja, analize ranjivosti, rada, održavanja i drugih.

kriterijumi za određivanje sigurnosti računarskih sistema

Sve sigurnosne klase i njihovi zahtjevi imaju zajednički stil i organizirani su u hijerarhiji. Između njih mogu postojati zavisnosti, pod uslovom da su mogućnosti komponente nedovoljne da ispune sigurnosni cilj i potrebu za drugom komponentom.

Modeli prijetnji

U cilju efikasnog korišćenja i razvoja bezbednosnog profila, u procesu njegovog stvaranja vrši se analiza svih pretnji koje mogu biti izvodljive u odnosu na tehnologiju ove grupe. Tokom toga se sastavljaju modeli prijetnji, koji uključuju sljedeće:

  • životni ciklus prijetnje;
  • smjer prijetnje;
  • izvor;
  • rizični sistemi;
  • sredstva koja zahtijevaju zaštitu;
  • metode i algoritmi implementacije prijetnji;
  • mogući problemi;
  • rizici i drugi aspekti.
iso IEC 15408 standard

Dizajn modela prijetnje

Nije dovoljno samo pretpostaviti koje se opasnosti mogu očekivati od sistema koji se stvara. Pored toga, trenutno je njihov broj ogroman i pružanje zaštite od svih zahtijevat će puno vremena i novca. S tim u vezi, utvrđuje se opšta lista mogućih opasnosti relevantnih za sisteme u datoj oblasti, na osnovu koje se utvrđuju kriterijumi za utvrđivanje bezbednosti računarskih sistema ovog tipa biće uspostavljen u budućnosti.

. Narandžasta knjiga

Procedura za kreiranje modela prijetnje slična je analizi rizika. Dakle, u procesu opisivanja prijetnji od namjerne ljudske aktivnosti, izvorni format se procjenjuje prema metodama implementacije prijetnje i vjerovatnoći njene implementacije.

Sigurnosne klase

Standard definira sigurnosnu funkciju kao dio sistema koji implementira podskup pravila njihove sigurnosne politike. Sigurnosnoj funkciji se dodaje trajnost - karakteristika koja informiše o minimalnom neophodnom uticaju na njenu sigurnost, u kojoj sigurnosna politika ove funkcije će biti povrijeđena. Njegove vrijednosti su sljedeće:

  • Osnovni mod. Funkcija garantuje sigurnost od slučajnih prekršaja, pod uslovom da prekršilac ima nizak potencijal za napad.
  • Prosječno. Obezbeđena je zaštita od ciljanih kršenja bezbednosti od strane prekršilaca sa umerenom stopom napada.
  • Visok. Garantuje zaštitu od planiranih i organizovanih kršenja od uljeza sa visokim nivoom.
vještina zaštite informacija

Postoji i posebna šema za određivanje potencijala napada, koja uzima u obzir određene faktore:

  1. Prilikom određivanja ranjivosti:
      Vrijeme potrebno za identifikaciju problema. Nivo potrebne obuke. Znanje o projektu i njegovom funkcionisanju. Softver i druga oprema.
  2. Kada se koristi:
      Vrijeme provedeno koristeći problem. Nivo obuke. Uvod u funkcionalni projekat. Potrebni softverski proizvodi.

Zaštita računarskih sistema glavni je zadatak svakog softverskog proizvoda odgovornog za računarsku sigurnost. Istovremeno, kvalitet ove funkcije i informacija o prijetnjama koje sistem može izdržati ima svoju klasifikaciju, unaprijed odobrenu u fazi razvoja. Zbog toga, računarska sigurnost ima visoke pokazatelje kvaliteta.

Međunarodni i nacionalni standardi, tehnologije informacione sigurnosti Međunarodni i nacionalni standardi, tehnologije informacione sigurnosti
Koncept, ciljevi i zadaci informacione sigurnosti Koncept, ciljevi i zadaci informacione sigurnosti
Ac klasifikacija. Osiguravanje informacione sigurnosti automatizovanih sistema Ac klasifikacija. Osiguravanje informacione sigurnosti automatizovanih sistema
Nivoi zaštite informacija: koncept, osnovni principi, analiza rizika i njihovo uklanjanje Nivoi zaštite informacija: koncept, osnovni principi, analiza rizika i njihovo uklanjanje
Btrfs ili ext4: pregled sistema, performanse, konverzija Btrfs ili ext4: pregled sistema, performanse, konverzija
Nivoi sigurnosti ličnih podataka: zahtjevi i karakteristike Nivoi sigurnosti ličnih podataka: zahtjevi i karakteristike
Klase masovnih efekata: pregled, izbor, vodič Klase masovnih efekata: pregled, izbor, vodič
Sistem upravljanja zaštitom zdravlja i sigurnosti na radu je... Koncept, organizacija, struktura, odredbe, ciljevi i zadaci Sistem upravljanja zaštitom zdravlja i sigurnosti na radu je... Koncept, organizacija, struktura, odredbe, ciljevi i zadaci
Šta je zaštita: koncept i vrste Šta je zaštita: koncept i vrste