Профиль защиты и задание по безопасности

Профили защиты (ПЗ) представляет собой независимый от реализациитиповой набор требований безопасности для со­вокупности изделий опре деленного вида, отвечающий соответствующим целям безопасности. ПЗ предназначен для многократного использования, и определяет требования безопасности

Класс

Семейство-1

Семейство-2

Семейство-3

Рис.7.2. Пример структуры гарантийных требований.

изделий, включая функцио­нальные требования и гарантийные требования, в отношении которых ус­тановлено, что они являются достаточными и эффективными для достижения установленных целей безопасности.

Профили защиты разрабатываются и используются как стандар­тизованные наборы требований с целью повышения обоснованности задания требований безопасности изделий, оценки безопасности и возможности проведения сравнительного анализа уровня безопас­ности различных изделий.

Задание по безопасности (ЗБ) содержит совокупность требований безопасности для конкретного изделия, которые обеспечивают достижение установленных целей безопасности. ЗБ представляет со­бой набор требований безопасности, которые могут быть определены ссылкой на профили защиты, ссылкой на отдельные стандартизован­ные требования или же содержать требования в явном виде.

ЗБ формируется разработчиком изделия и является основой для проведения оценки и сертификации изделия.

Структура профиля защиты строго регламентирована. Он содержит следующие разделы.

1. Введение ПЗ

1.1. Идентификация ПЗ

1.2. Аннотация ПЗ

2. ОПИСАНИЕ ОО

3. СРЕДА БЕЗОПАСНОСТИ ОО

3.1. Предположения безопасности

3.2. Угрозы

3.3. Политика безопасности организации

4. ЦЕЛИ БЕЗОПАСНОСТИ

4.1. Цели безопасности для ОО

4.2. Цели безопасности для среды

5. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ ИТ

5.1. Функциональные требования безопасности ОО

5.2. Требования доверия к безопасности ОО

5.3. Требования безопасности для среды ИТ

6. ЗАМЕЧАНИЯ ПО ПРИМЕНЕНИЮ

7. ОБОСНОВАНИЕ

7.1. Логическое обоснование целей безопасности

7.2. Логическое обоснование требований безопасности

Задание по безопасности по структуре во многом похоже на ПЗ и содержит дополнительную информацию, разъясняющую, каким образом требования ПЗ должны быть реализованы для конкретного изделия.

Литература

1. Герасименко В. А., Малюк А. А. Основы защиты информации. М. Московский

государственный инженерно- физический институт,1997г.

2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных

системах и сетях / Под ред. В.Ф. Шаньгина. – М.: Радио и связь, 1999.

3. Мельников В. В. Защита информации в компьютерных системах. М. «Финансы и

статистика», 1997г.

4. «Шпионские штучки» и устройства для защиты объектов и информации. Справочное

пособие. С-Петербург.1996г.

5. Хорев А.И. Защита информации. Технические каналы утечки информации. М., 1998г.

6. Ярочкин В.И. Информационная безопасность: Учеб. для ВУЗов. Изд. 2. Минск:

Академический проект, 2005.

7. Зима В.М., Молдавян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий.

С-Петербург. 2001г.

8. Голиков В.Ф., Лыньков Л.М., Прудник А.М., Борботько Т.В. Правовые и организаци-

онно-технические методы защиты информации. Учебное пособие. Минск, БГУИР, 2004г.

9. СТБ 34.101.1-2004(ИСО/МЭК 15408-1:1999). Информационные технологии и

безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

10. СТБ 34.101.2-2004(ИСО/МЭК 15408-2:1999). Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

11. СТБ 34.101.3-2004(ИСО/МЭК 15408-3:1999). Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности.