Számítógépes rendszer biztonsági osztályok. Iso / iec 15408 nemzetközi szabvány

A Modern számítógépes rendszerek bizonyos módszerekkel vannak felszerelve az információk védelmére a kívülállóktól és a betolakodóktól. Enélkül lehetetlen elképzelni semmilyen programot vagy egy egész komplexumot információs technológiák. A számítógépes rendszerekhez biztonsági osztályokra van szükség, mivel a felhasználók és a szellemi tulajdon egyre több személyes adata van online, és védelmük mértéke közvetlenül befolyásolja az emberek életét. E tekintetben figyelembe kell venni az információvédelem meglévő típusait.

Általános információk

Az információs rendszerek követelményeinek és jellemzőinek szabványosításának és rendszerezésének köszönhetően a nemzeti és nemzetközi szabványok rendszere az információvédelem területén és biztonság, megjelent, amely több mint száz dokumentumot tartalmaz. A rendszer egyik fő helyét az ISO IEC 15408 szabvány foglalja el, más néven Common Criteria.

Történelem

A biztonsági értékelés és a biztonsági osztályok nemzetközi szabványának létrehozásának kezdete 1990-ben kezdődött Nemzetközi Szervezet a szabványosításhoz. Az Egyesült Államok, Kanada, Németország, Anglia és Franciaország részt vett a fejlesztésben. A fejlesztést elvégezték egy évtizede a legjobb szakemberek a világon, és többször szerkesztették. A 2. verzió szabvány jóváhagyása.1 történt június 8-án 1999-ben. Közös név közös kritériumok, vagy "Az információs rendszerek biztonságának értékelésére vonatkozó általános kritériumok".

Létrehozva "Közös kritériumok" kombinált tudás és tapasztalat a használat során "A Narancssárga Könyv", , Az európai és kanadai rendszerbiztonsági kritériumok fejlettek voltak, és az amerikai szövetségi kritériumok védelmi profiljainak valódi szerkezete.

Tartalom

Az általános rendelkezések a számítógépes biztonsági eszközökre vonatkozó követelmények széles körét osztályozzák, meghatározzák a csoportosítási struktúrát és a felhasználási módszereket. Ennek a rendszernek a fő előnye a biztonsági követelmények és azok megrendelésének, rugalmasságának és a további fejlődés lehetőségeinek teljes körű kimutatása volt. Az akkori világ vezető technológiai gyártói azonnal létrehozták és ellátták az ügyfeleket olyan alapokkal, amelyek megfelelnek az általános kritériumok követelményeinek.

Fejlesztésüket a következő szakértői csoportok találkozására hajtották végre: az informatikai termékek gyártói, fogyasztói, valamint a technológiai biztonság szintjének felmérésében részt vevő szakértők. A bevezetett szabvány támogatást nyújtott azoknak az információs termékeknek a kiválasztásához, amelyeknek meg kell felelniük a biztonsági fenyegetésben való működés követelményeinek, valamint támogatásként szolgálnak e termékek biztonsági rendszereinek fejlesztői számára. Az ilyen rendszerek létrehozásának technológiája, valamint az elért biztonsági szint értékelése szintén szabályozott.

A kritériumok bevezetésével, , információbiztonság az információs termék által feldolgozott adatok integritásának és bizalmas jellegének minősül, és célja a termék védelme és az olyan fenyegetések elleni küzdelem, amelyek relevánsak lehetnek egy adott termék működése során. Ebből következik, hogy a kombinált kritériumok a következők minden alkatrész bizonyos biztonsági fenyegetések mellett működő információs termékek tervezéséről, létrehozásáról és használatáról.

Szerkezet

A megnevezett ISO 15408 szabvány három részből áll:

• Bevezetés és általános bemutató.
• Funkcionális biztonsági követelmények.
• Biztonsági Garanciális Követelmények.

Ebből a listából világossá válik, hogy a tábornok a kritériumok kétféle információbiztonsági követelményt írnak elő: funkcionális és garantált. Az elsők a biztonsági szolgáltatásokhoz kapcsolódnak, amelyek magukban foglalják a hitelesítést, az azonosítást, a hozzáférés-ellenőrzést, az auditálást stb. A garancia magában foglalja a fejlesztés, tesztelés, sebezhetőség-elemzés, üzemeltetés, karbantartás stb.

Minden biztonsági osztálynak és azok követelményeinek közös stílusa van, és hierarchiában vannak rendezve. Függőségek lehetnek közöttük, feltéve, hogy az összetevő képességei nem elégségesek a biztonsági cél teljesítéséhez, és szükség van egy másik összetevőre.

Fenyegetési modellek

A biztonsági profil hatékony felhasználása és fejlesztése érdekében annak létrehozása során elemezzük az összes olyan fenyegetést, amely e csoport technológiájával kapcsolatban megvalósítható. Ennek során fenyegetési modelleket állítanak össze, amelyek a következőket tartalmazzák:

• fenyegetés életciklusa;
• a fenyegetés iránya;
• forrás;
• veszélyeztetett rendszerek;
• védelmet igénylő eszközök;
• a fenyegetések végrehajtásának módszerei és algoritmusai;
• lehetséges problémák;
• kockázatok és egyéb szempontok.

Fenyegetési modell tervezése

Nem elég csak azt feltételezni, hogy milyen veszélyek várhatók a létrehozandó rendszertől. Ezen kívül jelenleg a számuk hatalmas, és védelmet nyújt minden igényel sok időt és pénzt. Ebben az összefüggésben létrehozzák az adott területen működő rendszerekre vonatkozó lehetséges veszélyek általános listáját, amely alapján a számítógépes rendszerek biztonságának meghatározására vonatkozó kritériumok az ilyen típusú jön létre a jövőben.

A fenyegetési modell létrehozásának eljárása hasonló a kockázatelemzés elvégzéséhez. Így a szándékos emberi tevékenységből származó fenyegetések leírásának folyamatában a forrásformátumot a fenyegetés végrehajtásának módszerei és a megvalósítás valószínűsége szerint értékelik.

Biztonsági osztályok

A szabvány meghatározza a biztonsági funkciót a rendszer részeként, amely végrehajtja a biztonsági házirend szabályainak egy részhalmazát. A tartósság hozzáadódik a biztonsági funkcióhoz - olyan jellemző, amely tájékoztatja a biztonságra gyakorolt minimális szükséges hatást, amelyben ennek a funkciónak a biztonsági politikáját megsértik. Értékei a következők:

• Alap. A funkció garantálja a biztonságot a véletlen jogsértések ellen, feltéve, hogy a jogsértőnek alacsony a támadási lehetősége.
• Átlag. Védelmet nyújt a mérsékelt támadási arányú jogsértők célzott biztonsági megsértései ellen.
• Magas. Garantálja a magas szintű készségekkel rendelkező betolakodók által tervezett és szervezett jogsértések elleni védelmet.

Van egy külön rendszer a támadás potenciáljának meghatározására, amely figyelembe veszi bizonyos tényezőket:

1. A sebezhetőség meghatározásakor:
   A probléma azonosításához szükséges idő. A szükséges képzés szintje. A projekttel és annak működésével kapcsolatos ismeretek. Szoftver és egyéb berendezések.
2. Használata esetén:
   A probléma használatával töltött idő. A képzés szintje. Bevezetés a működő projektbe. Szükséges szoftver termékek.

A számítógépes rendszerek védelme a számítógépes biztonságért felelős szoftvertermékek fő feladata. Ugyanakkor ennek a funkciónak a minősége, valamint a rendszer által elviselhető fenyegetésekkel kapcsolatos információk saját besorolással rendelkeznek, amelyet a fejlesztési szakaszban előzetesen jóváhagytak. Ennek köszönhetően a számítógépes biztonság magas színvonalú mutatókkal rendelkezik.