Triedy zabezpečenia počítačového systému. Medzinárodná norma iso/iec 15408

Obsah

Moderné počítačové systémy sú vybavené určitými spôsobmi ochrany informácií pred outsidermi a votrelcami. Nie je možné si predstaviť žiadny program alebo celý komplex informačné technológie bez it. Triedy bezpečnosti sú potrebné pre počítačové systémy, pretože čoraz viac osobných údajov používateľov a duševného vlastníctva je online a stupeň ich ochrany priamo ovplyvňuje životy ľudí. V tejto súvislosti je potrebné zvážiť existujúce typy ochrany informácií.

Všeobecné informácie

Vďaka štandardizácii a systematizácii požiadaviek a charakteristík informačných systémov s ochranou, systému národných a medzinárodných noriem v oblasti ochrany informácií a bezpečnosť, objavil sa, ktorý obsahuje viac ako sto dokumentov. Jedno z hlavných miest v tomto systéme je obsadené normou ISO IEC 15408, inak nazývanou spoločné kritériá.

, prostriedok na zabezpečenie počítačovej bezpečnosti

História

Začiatok vytvorenia medzinárodného štandardu pre hodnotenie bezpečnosti a triedy bezpečnosti sa začal v roku 1990 Medzinárodná Organizácia pre štandardizáciu. Na vývoji sa podieľali USA, Kanada, Nemecko, Anglicko a Francúzsko. Vývoj bol vykonaný na desať rokov od najlepších odborníkov vo svete a bol upravený viac ako raz. Schválenie normy verzie 2.1 došlo 8. júna 1999. Spoločný názov spoločné kritériá alebo "Všeobecné kritériá hodnotenia bezpečnosti informačných systémov".

Vytvorený "Spoločné kritériá" Kombinované znalosti a skúsenosti s používaním "Oranžová Kniha", , Európske a kanadské bezpečnostné kritériá systému boli pokročilé a skutočná štruktúra ochranných profilov federálnych kritérií USA.

Obsah

Všeobecné ustanovenia klasifikujú široký súbor požiadaviek na Nástroje počítačovej bezpečnosti, definujú štruktúru zoskupovania a spôsoby použitia. Hlavnou výhodou tohto systému bolo kompletné vyhlásenie o bezpečnostných požiadavkách a ich usporiadaní, flexibilita pri používaní a možnosti ďalšieho pokroku. Poprední svetoví výrobcovia technológií tej doby okamžite vytvorili a dodali zákazníkom finančné prostriedky, ktoré spĺňajú požiadavky všeobecných kritérií.

bola vytvorená počítačová bezpečnosť

Ich vývoj sa uskutočnil s cieľom splniť tieto skupiny špecialistov: výrobcov, spotrebiteľov IT produktov a odborníkov na hodnotenie úrovne technologickej bezpečnosti. Zavedená norma poskytla podporu pre výber informačných produktov, ktoré musia spĺňať požiadavky na fungovanie v bezpečnostnej hrozbe, a slúžiť ako podpora pre vývojárov bezpečnostných systémov týchto produktov. Reguluje sa aj technológia vytvárania takýchto systémov a hodnotenie dosiahnutej úrovne bezpečnosti.

So zavedením kritérií, , informačná bezpečnosť sa považuje za súbor integrity a dôvernosti údajov spracovaných informačným produktom a jeho cieľom je chrániť produkt a čeliť hrozbám, ktoré môžu byť relevantné počas prevádzky konkrétneho produktu. Z toho vyplýva, že kombinované kritériá zahŕňajú všetky diely navrhovanie, vytváranie a používanie informačných produktov, ktoré fungujú pod určitými bezpečnostnými hrozbami.

Štruktúra

Pomenovaná norma ISO 15408 obsahuje tri časti:

  • Úvod a všeobecná prezentácia.
  • Požiadavky na funkčnú bezpečnosť.
  • Požiadavky na bezpečnostnú záruku.

Z tohto zoznamu je zrejmé, že generál kritériá stanovujú dva typy požiadaviek na bezpečnosť informácií: funkčné a zaručené. Prvé sa týkajú bezpečnostných služieb, medzi ktoré patrí autentifikácia, identifikácia, kontrola prístupu, audit atď. Záruka zahŕňa technológiu vývoja, testovania, analýzy zraniteľnosti, prevádzky, údržby atď.

kritériá na určenie bezpečnosti počítačových systémov

Všetky triedy zabezpečenia a ich požiadavky majú spoločný štýl a sú usporiadané v hierarchii. Môžu medzi nimi existovať závislosti za predpokladu, že schopnosti komponentu nie sú dostatočné na splnenie bezpečnostného cieľa a potrebu iného komponentu.

Modely hrozieb

S cieľom efektívne využívať a rozvíjať bezpečnostný profil sa v procese jeho vytvárania vykonáva analýza všetkých hrozieb, ktoré môžu byť uskutočniteľné vzhľadom na technológiu tejto skupiny. Počas toho sa zostavujú modely hrozieb, ktoré zahŕňajú:

  • životný cyklus hrozby;
  • smer ohrozenia;
  • zdroj;
  • rizikové systémy;
  • aktíva vyžadujúce ochranu;
  • metódy a algoritmy implementácie hrozieb;
  • možné problémy;
  • riziká a ďalšie aspekty.
norma iso iec 15408

Nestačí len predpokladať, aké nebezpečenstvá možno očakávať od vytvoreného systému. Okrem toho je v súčasnosti ich počet obrovský a poskytovanie ochrany pred všetkými bude vyžadovať veľa času a peňazí. V tejto súvislosti sa stanovuje všeobecný zoznam možných nebezpečenstiev relevantných pre systémy v danej oblasti, na základe ktorých sa stanovujú kritériá na určenie bezpečnosti počítačových systémov tohto typu sa vytvorí v budúcnosti.

orange book

Postup vytvorenia modelu hrozby je podobný ako pri analýze rizika. V procese opisu hrozieb zo zámernej ľudskej činnosti sa teda zdrojový formát hodnotí podľa metód implementácie hrozieb a pravdepodobnosti ich implementácie.

Bezpečnostné triedy

Norma definuje bezpečnostnú funkciu ako súčasť systému, ktorý implementuje podmnožinu pravidiel svojej bezpečnostnej politiky. K bezpečnostnej funkcii sa pridáva trvanlivosť - charakteristika, ktorá informuje o minimálnom nevyhnutnom vplyve na jej bezpečnosť, v ktorom bezpečnostná politika tejto funkcie bude porušená. Jeho hodnoty sú nasledovné:

  • Základný. Funkcia zaručuje bezpečnosť pred náhodným porušením za predpokladu, že porušovateľ má nízky potenciál útoku.
  • Priemerný. Poskytuje sa ochrana pred cieleným narušením bezpečnosti porušovateľmi s miernou mierou útoku.
  • Vysoký. Zaručuje ochranu pred plánovaným a organizovaným porušovaním zo strany votrelcov s vysokou úrovňou zručností.
Ochrana osobných údajov

Existuje aj samostatná schéma na určenie potenciálu útoku, ktorá zohľadňuje určité faktory:

  1. Pri určovaní zraniteľnosti:
      Čas potrebný na identifikáciu problému. Úroveň potrebného školenia. Znalosti o projekte a jeho fungovaní. Softvér a ďalšie vybavenie.
  2. Pri použití:
      Čas strávený používaním problému. Úroveň odbornej prípravy. Úvod do fungujúceho projektu. Požadované softvérové produkty.

Ochrana počítačových systémov je hlavnou úlohou každého softvérového produktu zodpovedného za počítačovú bezpečnosť. Kvalita tejto funkcie a informácie o hrozbách, ktorým systém vydrží, majú zároveň svoju vlastnú klasifikáciu schválenú vopred vo fáze vývoja. Z tohto dôvodu má počítačová bezpečnosť ukazovatele vysokej kvality.

Články na tému
Úrovne bezpečnosti osobných údajov: požiadavky a funkcie Úrovne bezpečnosti osobných údajov: požiadavky a funkcie
Bezpečnosť výrobkov: teoretické základy, kontrola kvality výrobkov a legislatívny rámec Bezpečnosť výrobkov: teoretické základy, kontrola kvality výrobkov a legislatívny rámec
Národná bezpečnosť: definícia, typy, bezpečnostné opatrenia a možné hrozby Národná bezpečnosť: definícia, typy, bezpečnostné opatrenia a možné hrozby
Medzinárodné a národné štandardy informačnej bezpečnosti, technológie Medzinárodné a národné štandardy informačnej bezpečnosti, technológie
Oprava klimatizačného systému - funkcie a odporúčania Oprava klimatizačného systému - funkcie a odporúčania
Cervix počas ovulácie: stav, vlastnosti, norma a odchýlky Cervix počas ovulácie: stav, vlastnosti, norma a odchýlky
Norma očného tlaku u dospelých. Zariadenie na meranie vnútroočného tlaku Norma očného tlaku u dospelých. Zariadenie na meranie vnútroočného tlaku
Ako vrátiť systém windows 10 do systému windows 7: základné metódy Ako vrátiť systém windows 10 do systému windows 7: základné metódy
Plod s nízkou hmotnosťou je patológia alebo znak ústavy? Norma hmotnosti plodu podľa týždňa Plod s nízkou hmotnosťou je patológia alebo znak ústavy? Norma hmotnosti plodu podľa týždňa