предусматривает формальную верификацию проекта объекта
оценки. Он применим к ситуациям чрезвычайно высокого риска.
На этом мы
заканчиваем краткий обзор "Общих критериев".
Гармонизированные критерии Европейских стран
Наше изложение
"Гармонизированных критериев" основывается на версии 1.2,
опубликованной в июне 1991 года от имени соответствующих органов четырех стран
- Франции, Германии, Нидерландов и Великобритании.
Принципиально
важной чертой Европейских Критериев является отсутствие требований к условиям,
в которых должна работать информационная система. Так называемый спонсор,
то есть организация, запрашивающая сертификационные услуги, формулирует цель
оценки, то есть описывает условия, в которых должна работать система, возможные
угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа
сертификации - оценить, насколько полно достигаются поставленные цели, то есть
насколько корректны и эффективны архитектура и реализация механизмов
безопасности в описанных спонсором условиях. Таким образом, в терминологии
"Оранжевой книги", Европейские Критерии относятся к гарантированности
безопасной работы системы. Требования к политике безопасности и наличию
защитных механизмов не являются составной частью Критериев. Впрочем, чтобы
облегчить формулировку цели оценки, Критерии содержат в качестве приложения
описание десяти классов функциональности, типичных для правительственных и
коммерческих систем.
Европейские
Критерии рассматривают все основные составляющие информационной безопасности - конфиденциальность,
целостность, доступность.
В Критериях
проводится различие между системами и продуктами. Система - это
конкретная аппаратно-программная конфигурация, построенная с вполне
определенными целями и функционирующая в известном окружении. Продукт -
это аппаратно-программный "пакет", который можно купить и по своему
усмотрению встроить в ту или иную систему. Таким образом, с точки зрения
информационной безопасности основное отличие между системой и продуктом состоит
в
том, что система имеет конкретное окружение,
которое можно определить и
изучить сколь угодно детально, а продукт должен быть рассчитан на использование
в различных условиях.
Из практических
соображений важно обеспечить единство критериев оценки продуктов и систем - например,
чтобы облегчить оценку системы, составленной из ранее сертифицированных
продуктов. По этой причине для систем и продуктов вводится единый термин -
объект оценки.
Каждая система
и/или продукт предъявляет свои требования к обеспечению конфиденциальности,
целостности и доступности. Чтобы удовлетворить эти требования, необходимо
предоставить соответствующий набор функций (сервисов) безопасности,
таких как идентификация и аутентификация, управление доступом или
восстановление после сбоев.
Сервисы
безопасности реализуются посредством
Главная / безопасность пк / методы защиты информации 