Профиль защиты

⇐ Предыдущая 1 2 3 456 7 8 9 Следующая ⇒

Профиль защиты определяет требования безопасности к определенной категории ИТ-продуктов, не уточняя методы и средства их реализации. С помощью Профилей защиты потребители формулируют свои требования к производителям.

Рассмотрим назначение и содержание разделов Профиля защиты.

Введение содержит информацию, необходимую для поиска Профиля защиты в библиотеке профилей.

Идентификатор Профиля защиты представляет собой уникальное имя, пригодное для его поиска среди подобных ему профилей и обозначения ссылок на него.

Обзор содержания содержит краткую аннотацию Профиля защиты, на основании которой потребитель может сделать вывод о соответствии данного профиля его запросам.

Описание ИТ-продукта содержит его краткую характеристику, функциональное назначение, принципы работы, методы использования и т.д.. Эта информация не подлежит анализу и сертификации, но предоставляется экспертам по квалификации для пояснения требований безопасности и определения их соответствия задачам, решаемым с помощью ИТ-продукта, а также для общего понимания его структуры и принципов работы.

Среда эксплуатации. Этот раздел содержит описание среды функционирования ИТ-продукта с точки зрения безопасности.

Условия эксплуатации. Описание условий эксплуатации ИТ-продукта должно содержать исчерпывающую характеристику среды его эксплуатации с точки зрения безопасности, в том числе ограничения на условия его применения.

Угрозы безопасности. Описание угроз безопасности, действующих в среде эксплуатации, которым должна противостоять защита ИТ-продукта. Для каждой угрозы должен быть указан ее источник, метод и объект воздействия.

Политика безопасности. Описание политики безопасности должно определять и, при необходимости, объяснять правила политики безопасности, которая должна быть реализована в ИТ-продукте.

Задачи защиты отражают потребности пользователей в противодействии указанным угрозам безопасности и/или реализации политики безопасности.

Задачи защиты ИТ-продукта отражают потребности пользователей в противодействии угрозам безопасности и/или реализации политики безопасности.

Другие задачи защиты отражают необходимость участия средств защиты ИТ-продукта в противодействии угрозам безопасности и/или реализации политики безопасности совместно с другими компонентами информационных технологий.

Требования безопасности. В этом разделе Профиля защиты содержатся требования безопасности, которым должен удовлетворять ИТ-продукт для решения задач защиты.

Раздел функциональных требований должен содержать только типовые требования, предусмотренные соответствующими разделами “Единых критериев”. Необходимо обеспечить такой уровень детализации требований, который позволяет продемонстрировать их соответствие задачам защиты. Функциональные требования могут предписывать или запрещать использование конкретных методов и средств защиты.

Раздел требований адекватности содержит ссылки на типовые требования уровней адекватности “Единых критериев”, но допускает и определение дополнительные требований адекватности.

Раздел требований к среде эксплуатации является необязательным и может содержать функциональные требования и требования адекватности, которым должны удовлетворять компоненты информационных технологий, составляющие среду эксплуатации ИТ-продукта. В отличие от предыдущих разделов использование типовых требований “Единых критериев” является желательным, но не обязательным.

Дополнительные сведения — необязательный раздел, содержащий любую дополнительную информацию, которая может быть полезна для проектирования, разработки, квалификационного анализа и сертификации ИТ-продукта.

Обоснование должно демонстрировать, что Профиль защиты содержит полное и связное множество требований, и что удовлетворяющий им ИТ-продукт будет эффективно противостоять угрозам безопасности среды эксплуатации.

Обоснование задач защиты должно демонстрировать, что задачи защиты, предложенные в профиле, соответствуют параметрам среды эксплуатации, и их решение позволит эффективно противостоять угрозам безопасности и реализовать политику безопасности.

Обоснование требований безопасности показывает, что требования безопасности позволяют эффективно решить задачи защиты, поскольку:

- совокупность целей, преследуемых отдельными функциональными требованиями, соответствует установленным задачам защиты;

- требования безопасности являются согласованными, т. е. не противоречат друг другу, а, наоборот, взаимно усиливают;

- выбор требований является оправданным (особенно это относится к дополнительным требованиям, не содержащимся в "Единых критериях");

- выбранный набор функциональных требований и уровень требований адекватности соответствуют Задачам защиты.

Профиль защиты служит отправной точкой для производителя в процессе создания Проекта защиты, который является техническим проектом для разработки ИТ-продукта и представляет его в ходе квалификационного анализа.

Как видно из приведенной структуры Профиля и краткого обзора содержания, этот документ практически исчерпывающим образом регламентирует процесс создания защищенной информационной системы. Фактически, положения этого документя определяют технологию разработки защищенной системы.

Самым важным элементом этой технологии являются требования безопасности. Поскольку “Единые критерии” обобщают все предшествующие решения в этой области, рассмотрим их более подробно.

⇐ Предыдущая 1 2 3 456 7 8 9 Следующая ⇒

Поделиться с друзьями:

Дата добавления: 2014-12-07; Просмотров: 1618; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.009 сек.