Сухомлин Ігор Сергійович

Національний авіаційний університет, Україна

Загальні положення стандарту з оцінювання інформаційної безпеки

Роботу над створенням нового стандарту з оцінювання безпеки інформаційних технологій було розпочато 1990 року під егідою Міжнародної організації зі стан­дартизації (International Organization for Standartization, ISO). Основни­ми завданнями цього проекту були:

♦     уніфікація національних стандартів у сфері оцінювання безпеки IT;

♦     підвищення рівня довіри до оцінювання безпеки IT;

♦     скорочення витрат на оцінювання рівня безпеки IT на основі взаємного виз­нання сертифікатів.

У «Загальних критеріях» (стандарт ISO/IEC 15408) регламентовано всі етапи роз­роблення, кваліфікаційного аналізу та експлуатації продуктів інформаційних тех­нологій і запропоновано досить складні концепції розроблення і кваліфікаційного аналізу продуктів IT. Документ ISO/IEC 15408 має такі основні розділи.

♦     Вступ і загальна модель.

♦     Функціональні вимоги безпеки.

♦     Вимоги забезпечення безпеки (або вимоги адекватності).

У документі розглянуто основні аспекти безпеки — забезпечення конфіден­ційності, цілісності та доступності інформації або, інакше кажучи, захист від не­санкціонованого доступу, модифікації чи втрати доступу до інформації під час реалізації загроз, які є результатом випадкових або навмисних дій.

Під керівництвом ISO було також розроблено нормативно-методичну доку­ментацію як додаток до стандарту, що містить:

♦     вказівки щодо розроблення профілів захисту та визначення завдань захисту;

♦     процедури реєстрації профілів захисту;

♦     загальну методологію оцінювання безпеки IT.

Стандарт ISO/IEC 15408, призначений для оцінювання безпеки продуктів IT, використовують не лише на етапі формування вимог до об'єктів оцінювання, а й на всіх етапах їхнього життєвого циклу і в процесі оцінювання безпеки об'єктів.

Таким чином, «Загальні критерії» можуть стати у пригоді:

♦     експертам з оцінювання об'єктів;

♦     користувачам об'єкта оцінювання;

♦     розробникам об'єктів оцінювання.

           Об'єктом оцінювання ми називатимемо продукт або систему IT, яка має ресур­си, що можна використовувати для оброблення та зберігання інформації. Об'єкта­ми оцінювання можуть бути операційні системи, інформаційні системи, обчислю­вальні мережі, прикладні програми тощо.

У «Загальних критеріях» не приділено уваги адміністративним заходам і техніч­ним засобам безпеки. До того ж стандарт не містить критеріїв оцінювання крип­тографічних методів захисту інформації та рекомендацій щодо самих методик оцінювання. Певною мірою це було враховано в нормативно-методичній доку­ментації, виданій на підтримку стандарту.

Стандарт ISO/IES 15408 використовують на різних етапах життєвого циклу ІТ-продукту, насамперед під час його розроблення та кваліфікаційного аналізу (тоб­то в процесі оцінювання інформаційної безпеки).

Піддаючи ІТ-продукт кваліфікаційному аналізу, окрім «Загальних критеріїв» слід використовувати документ «Загальна методологія» , де подано перелік дій, які необхідно виконати під час оцінювання.

Основні принципи, на яких ґрунтується «Загальна методологія».

♦     Результати оцінювання є об'єктивними і не залежними від суб'єктивного ба­чення експерта, який здійснює оцінювання.

♦     Дії експерта, який використовує одну й ту саму методику оцінювання, приво­дять до несуперечливих результатів.

♦     Дії експерта забезпечують точне технічне оцінювання.

Серед матеріалів, які використовують для проведення кваліфікаційного аналізу, можна виділити:

♦     завдання з безпеки, де описано функції захисту IT-продукту та вимоги безпе­ки, що відповідають вимогам профілю захисту, на реалізацію якого претендує продукт;

♦     відомості про можливості ІТ-продукту, подані його розробником;

♦     ІТ-продукт;

♦     додаткові відомості, отримані після проведення різних експертиз.

Кваліфікаційний аналіз ІТ-продукту (об'єкта оцінювання) здійснюють у кілька етапів.

1.Аналіз профілю захисту на його повноту, несуперечність, можливість реаліза­ції та використання як набору вимог до продукту, що аналізують.

2.Аналіз завдання з безпеки на його відповідність вимогам профілю захисту, а також на повноту, несуперечність, можливість реалізації та використання як опису ІТ-продукту.

3.Аналіз ІТ-продукту на його відповідність завданню з безпеки.

 

Література:

1.     Грайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем // Київ: BHV, 2009.

2.     http://lib.exdat.com/docs/3758/index-11208.html?page=3

3.     http://5fan.ru/wievjob.php?id=97514