Требования безопасности к информационным системам
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями".
"Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
Как и "Оранжевая книга", "Общие критерии" содержат два основных вида требований безопасности:
· функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
· требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
В отличие от "Оранжевой книги", "Общие критерии" не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
Очень важно, что безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки.
Угрозы безопасности в стандарте характеризуются следующими параметрами:
· источник угрозы;
· метод воздействия;
· уязвимые места, которые могут быть использованы;
· ресурсы (активы), которые могут пострадать
Выводы по теме
· Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.
· Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
· Закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 года № 24-ФЗ является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
· Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
· Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
· Немаловажная роль в системе правового регулирования информационных отношении отводится ответственности субъектов за нарушения в сфере информационной безопасности. Основными документами в этом направлении являются:
o Уголовный кодекс Российской Федерации;
o Кодекс Российской Федерации об административных правонарушениях.
· Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам.
· "Общие критерии" являются стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
· "Общие критерии" содержат два основных вида требований безопасности:
o функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
o требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
· Угрозы безопасности в стандарте характеризуются следующими параметрами:
o источник угрозы;
o метод воздействия;
o уязвимые места, которые могут быть использованы;
o ресурсы (активы), которые могут пострадать.
· Для структуризации пространства требований в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.
o Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
o Семейства в пределах класса различаются по строгости и другим тонкостям требований.
o Компонент – минимальный набор требований, фигурирующий как целое.
o Элемент – неделимое требование.
Дата добавления: 2017-08-01; просмотров: 1983;