Классы безопасности компьютерных систем. Международный стандарт ISO/IEC 15408

Современные компьютерные системы оснащены определенными способами защиты информации от посторонних и злоумышленников. Без нее невозможно представить ни одну программу или целый комплекс информационных технологий. Классы безопасности необходимы компьютерным системам, поскольку все больше личных данных пользователей и интеллектуальной собственности оказываются в сети, и степень их защиты напрямую влияет на жизни людей. В связи с этим следует рассмотреть существующие виды защиты информации.

Общие сведения

Благодаря проведению стандартизации и систематизации требований и характеристик информационных комплексов с защитой, появилась система национальных и международных стандартов в области защиты и безопасности информации, в которую входит больше сотни документов. Одно из основных мест в этой системе занимает стандарт ISO IEC 15408, по-другому называемый Common Criteria.

средство обеспечения компьютерной безопасности

История

Начало создания международного стандарта по оценке безопасности и классов безопасности началось в 1990 году Международной организацией по стандартизации. В разработке принимали участие США, Канада, Германия, Англия и Франция. Разработка велась десятилетие лучшими специалистами в мире, и не раз подвергался редактированию. Утверждение стандарта версии 2.1 произошло 8 июня в 1999 году. Общее название Common Criteria, или "Общие критерии оценки безопасности информационных систем".

Созданные "Общие критерии" объединили знания и опыт в использовании "Оранжевой книги", продвинули европейские и канадские критерии безопасности систем и создали реальную структуру профилей защиты федеральных критериев США.

Содержание

В общих положениях классифицирован широкий набор требований к средствам обеспечения компьютерной безопасности, определена структура группировки и способы использования. Главным преимуществом этой системы стало полное изложение требований к безопасности и их упорядочивание, гибкость в использовании и возможности для дальнейшего продвижения. Главные мировые производители технологий того времени сразу создали и поставили заказчикам средства, соответствующие требованиям общих критериев.

компьютерная безопасность

Их разработка была выполнена для удовлетворения следующих групп специалистов: производители, потребители ИТ продуктов и экспертов в оценке уровня безопасности технологий. Введенный стандарт обеспечил опору для выбора информационных продуктов, которые должны выполнять требования по функционированию в условиях угрозы безопасности, и служат опорой для разработчиков систем безопасности этих продуктов. Также регламентирована технология создания подобных систем и оценки достигнутого уровня безопасности.

С введением критериев, информационная безопасность рассматривается как совокупность целостности и конфиденциальности данных, которые обрабатывает информационный продукт, и ставят цель по защите продукта и противодействию угрозам, которые могут быть актуальны при эксплуатации определенного продукта. Из этого следует, что в объединенные критерии включены все части проектирования, создания и использования информационных продуктов, которые работают в условиях определенных угроз для безопасности.

Структура

В названный стандарт ISO 15408 входят три части:

  • Введение и общее представление.
  • Функциональные требования к безопасности.
  • Требования гарантированности безопасности.

Из этого списка становится понятно, что общими критериями предусмотрено два типа требований к защите информации: функциональные и гарантированные. Первые имеют отношение к сервисам безопасности, которые включают аутентификацию, идентификацию, управление доступом, аудит и прочее. Гарантированность включает технологию разработки, тестирования, анализа уязвимости, эксплуатации, сопровождения и прочее.

критерии определения безопасности компьютерных систем

Все классы безопасности и требования к ним имеют общий стиль и организованы в иерархию. Между ними могут существовать зависимости при условии недостаточности возможностей компонента для выполнения цели безопасности и необходимости в наличии другого компонента.

Модели угроз

Для эффективного использования и разработки профиля безопасности, в процессе его создания, выполняется анализ всех угроз, которые могут быть осуществимы в отношении технологии этой группы. Во время этого составляются модели угроз, которые включают в себя следующее:

  • жизненный цикл угрозы;
  • направление угрозы;
  • источник;
  • подверженные угрозе системы;
  • требующие защиты активы;
  • методы и алгоритмы реализации угрозы;
  • возможные проблемы;
  • риски и другие аспекты.
стандарт iso iec 15408

Проектирование модели угроз

Недостаточно просто предположить, какие опасности могут ожидать создаваемую систему. К тому же в настоящее время их число огромно и обеспечение защиты от всех потребует много времени и средств. В связи с чем устанавливается общий перечень возможных опасностей, актуальных для систем в заданной области, на основании которых в дальнейшем будут установлены критерии определения безопасности компьютерных систем этого типа.

оранжевая книга

Процедура создания модели угроз схожа с выполнение анализа рисков. Так, в процессе описания угроз от преднамеренной деятельности человека, оценивается формат источника по способам реализации угрозы и вероятность ее реализации.

Классы безопасности

Стандартом определяется функция безопасности как части системы, на которой лежит реализация подмножества правил их политики безопасности. В функции безопасности добавляется стойкость - характеристика, сообщающая о минимальном необходимом воздействии на ее безопасность, при котором нарушится политика безопасности этой функции. Ее значения бывают следующие:

  • Базовая. Функция гарантирует безопасность от случайных нарушений, при условии, что нарушитель имеет низкий потенциал нападения.
  • Средняя. Обеспечивается защита от целенаправленных нарушений безопасности нарушителями с умеренным показателем нападения.
  • Высокая. Гарантирует защиту от спланированных и организованных нарушений от злоумышленников с высоким уровнем навыков.
защита информации

Также имеется отдельная схема по определению потенциала нападения, в которой учитываются определенные факторы:

  1. При определении уязвимости:
      Время, необходимое на идентификацию проблемы. Уровень необходимой подготовки. Наличие знаний о проекте и его функционировании. Программные средства и иное оборудование.
  2. При использовании:
      Время, потраченное на использование проблемы. Уровень подготовки. Знакомство с проектом функционирования. Необходимые программные продукты.

Защита компьютерных систем основная задача любого программного продукта, отвечающего за компьютерную безопасность. При этом качество выполнения этой функции и сведения об угрозах, которым система может противостоять, имеет свою классификацию, заранее утверждена еще на этапе разработки. Благодаря чему компьютерная безопасность имеет высокие показатели качества.

Статья закончилась. Вопросы остались?
Подписаться
Я хочу получать
Правила публикации
Следят за новыми комментариями — 7
Редактирование комментария возможно в течении пяти минут после его создания, либо до момента появления ответа на данный комментарий.