8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,

Презентация:



Advertisements
Похожие презентации
Ранжирование функциональных требований. Критерии ранжирования функциональных требований широта сферы применения; степень детализации; функциональный.
Advertisements

Канадские критерии безопасности Созданы в 1993г. Цель разработки Единая шкала критериев Единая шкала критериев Основа для разработки спецификаций безопасных.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
8. Федеральные критерии безопасности информационных технологий.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
Лекция 15 - Методы разграничение доступа. Регистрация и аудит.
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
Оценка уровня безопасности Тестировщики Подтверждение свойств и качества. Рекомендации по доработке Методика проверки Определение Условий эксплуатации.
Защита Информации. эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством.
Принципы создания систем информационной безопасности: 1.Системный подход к построению системы защиты. 2.Принцип непрерывного развития системы. 3.Разделение.
Применение иерархического метода для построения защищенной операционной системы. Выполнила Шилова О. И-411.
1 Понятие о необходимости встроенных средств защиты на уровне ОС Подготовила: Студентка гр.И-411 Сартакова Е.Л.
Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Транксрипт:

8.4. Функциональные требования к IT-продукту

Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования, изложенные в "Федеральных критериях", разработаны на основе обобщения "Оранжевой книги" и "Европейских критериев". ТСВ объединяет все компоненты IT-продукта: аппаратные, программные, специальные средства, реализующие функции защиты.

Таксономия функциональных требований

Функциональные требования к ТСВ: реализация политики безопасности; мониторинг взаимодействий; логическая защита TCB; физическая защита TCB; самоконтроль TCB; инициализация и восстановление TCB; ограничение привилегий при работе с TCB; простота использования TCB.

Реализация политики безопасности: политика аудита; политика управления доступом; политика обеспечения работоспособности; управление безопасностью.

Политика аудита обеспечивает возможность однозначной идентификации субъекта, ответственного за те или иные действия в системе. идентификация и аутентификация; регистрация пользователя в системе; обеспечение прямого взаимодействия с ТСВ; регистрация и учет событий.

Идентификация и аутентификация устанавливают однозначное соответствие между пользователями и представляющими их в ВС субъектами разграничения доступа, и подтверждают подлинность этого соответствия.

Регистрация пользователя в системе создание субъекта взаимодействия, с идентификатором которого будут ассоциироваться все последующие действия пользователя.

Обеспечение прямого взаимодействия с ТСВ гарантирует, что информация, которая передается в ТСВ и обратно, не подвергается перехвату или искажению.

Регистрация и учет событий в системе позволяет распознавать потенциально опасные ситуации и сигнализировать о случаях нарушения безопасности.

Политика управления доступом обеспечивает конфиденциальность и целостность обрабатываемой информации. произвольное управление доступом; нормативное управление доступом; контроль скрытых каналов утечки информации.

Произвольное управление доступом позволяет: осуществлять назначение прав доступа с точностью до идентифицируемых субъектов и объектов; обеспечивает контроль за распространением прав доступа среди субъектов.

Нормативное управление доступом основано на контроле информационных потоков между субъектами и объектами и их атрибутов безопасности.

Контроль скрытых каналов утечки информации Каналы утечки ликвидируются минимизацией объема совместно используемых ресурсов и введения активных "шумовых помех".

Политика обеспечения работоспособности системы контроль за распределением ресурсов; обеспечение отказоустойчивости.

Контроль за распределением ресурсов Вводятся ограничения (квоты) на потребление ресурсов или приоритетная система распределения ресурсов.

Обеспечение отказоустойчивости противостоит угрозам работоспособности; обеспечивает корректное восстановление системы после сбоев.

Управление безопасностью регламентирует: компоновку, установку, конфигурацию и поддержку ТСВ; администрирование атрибутов безопасности пользователей; администрирование политики управления доступом; управление потреблением ресурсов системы; аудит действий пользователей.

Мониторинг взаимодействий Гарантируется, что все без исключения взаимодействия в системе, (доступ к объектам, ресурсам и сервисам) осуществляются при обязательном посредничестве ТСВ.

Логическая защита ТСВ ТСВ должна быть защищена от внешних воздействий со стороны непривилегированных пользователей.

Политика безопасности, мониторинг взаимодействий и логическая защита ТСВ - обязательные компоненты всех Профилей защиты.

Задаются ограничения на физический доступ к компонентам ТСВ и допустимые физические параметры среды функционирования ВС. Физическая защита ТСВ

Самоконтроль ТСВ Позволяют вовремя обнаруживать нарушения целостности компонентов ТСВ и осуществлять восстановление целостности ТСВ.

Инициализация и восстановление ТСВ Процесс восстановления после сбоя должен происходить без нарушений функционирования средств защиты. Восстановленное состояние ТСВ должно соответствовать требованиям: политики безопасности, мониторинга взаимодействий, самоконтроля целостности.

Ограничение привилегий при работе с ТСВ Основной принцип назначения полномочий для работы с ТСВ - принцип минимальной достаточности. Обеспечивается постоянным контролем и автоматическим понижением привилегий пользователей при обращении к компонентам или сервису ТСВ.

Простота использования ТСВ Обеспечивает удобство пользования возможностями ТСВ для: администраторов; рядовых пользователей; разработчиков прикладных программ, взаимодействующих с ТСВ. Включает: порядок реагирования ТСВ на ошибки в действиях пользователей и попытки нарушения безопасности; устанавливаемые по умолчанию полномочия; интерфейс пользователей и администратора.

Конец лекции 6