Требования безопасности к информационным системам

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) - международный оценочный стандарт, который вобрал в себя документы национального и межнационального масштаба. Этот стандарт очень часто называют "Общими критериями".

"Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.

"Общие критерии" содержат два основных вида требований безопасности:

1. функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;

2. требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.

"Общие критерии" не содержат предопределенных "классов безопасности". Безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки.

Угрозы безопасности в стандарте характеризуются следующими параметрами:

n источник угрозы;

n метод воздействия;

n уязвимые места, которые могут быть использованы;

n ресурсы (активы), которые могут пострадать.

 

1. Стандарты информационной безопасности предусматривают следующие сервисы безопасности:

· аутентификация;

· аутентификация источника;

· управление доступом;

· конфиденциальность;

· конфиденциальность трафика;

· целостность соединения;

· целостность вне соединения;

· неотказуемость.

2. Механизмы безопасности:

· шифрование;

· электронная цифровая подпись;

· механизм управления доступом;

· механизм контроля целостности данных;

· механизм аутентификации;

· механизм дополнения трафика;

· механизм управления маршрутизацией;

· механизм нотаризации (заверения).

3. Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Например, распространение криптографических ключей.

4. Администратор средств безопасности решает следующие задачи:

· администрирование информационной системы в целом;

· администрирование сервисов безопасности;

· администрирование механизмов безопасности.

 

3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ. СОЗДАТЬ ДОКУМЕНТ В MS POWERPOINT И ЗАЩИТИТЬ ЕГО ОТ ИЗМЕНЕНИЙ, Т.Е. СДЕЛАТЬ ТАК, ЧТОБЫ ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ИЗМЕНИТЬ ЭТОТ ДОКУМЕНТ БЕЗ ПАРОЛИ.