Лекции по "Информационной безопасности"

Автор работы: Пользователь скрыл имя, 11 Мая 2013 в 20:43, курс лекций

Краткое описание

Информационная безопасность. Тема 10. Лекция 16.
Информационная безопасность. Лекция 6. Административный уровень обеспечения ИБ
Информационная безопасность. Тема 5-1. Лекция 7. Введение в криптографию
Информационная безопасность. Тема 5-2. Лекция 8. Симметричные алгоритмы шифрования. Алгоритм DES

Вложенные файлы: 12 файлов

ИБ-04_05.doc

— 215.00 Кб (Скачать файл)

Требования доверия безопасности

Установление доверия  безопасности, согласно "Общим критериям", основывается на активном исследовании объекта оценки.

Форма представления требований доверия, в принципе, та же, что и  для функциональных требований. Специфика  состоит в том, что каждый элемент  требований доверия принадлежит  одному из трех типов:

  1. действия разработчиков;
  2. представление и содержание свидетельств;
  3. действия оценщиков.

Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:

  1. разработка (требования для поэтапной детализации функций безопасности от краткой спецификации до реализации);
  2. поддержка жизненного цикла (требования к модели жизненного цикла, включая порядок устранения недостатков и защиту среды разработки);
  3. тестирование;
  4. оценка уязвимостей (включая оценку стойкости функций безопасности);
  5. поставка и эксплуатация;
  6. управление конфигурацией;
  7. руководства (требования к эксплуатационной документации);
  8. поддержка доверия (для поддержки этапов жизненного цикла после сертификации);
  9. оценка профиля защиты;
  10. оценка задания по безопасности.

Применительно к требованиям доверия в "Общих критериях" введены так называемые оценочные уровни доверия (семь), содержащие осмысленные комбинации компонентов:

  1. Предусматривает анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимое тестирование. Уровень применим, когда угрозы не рассматриваются как серьезные.
  2. В дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта оценки, выборочное независимое тестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест.
  3. Ведется контроль среды разработки и управление конфигурацией объекта оценки.
  4. Добавляются полная спецификация интерфейсов, проекты нижнего уровня, анализ подмножества реализации, применение неформальной модели политики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого можно достичь при существующей технологии программирования и приемлемых затратах.
  5. Предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификац

Информация о работе Лекции по "Информационной безопасности"