Требования безопасности к информационным системамСтандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) - международный оценочный стандарт, который вобрал в себя документы национального и межнационального масштаба. Этот стандарт очень часто называют "Общими критериями". "Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования. "Общие критерии" содержат два основных вида требований безопасности: 1. функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам; 2. требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации. "Общие критерии" не содержат предопределенных "классов безопасности". Безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Угрозы безопасности в стандарте характеризуются следующими параметрами: n источник угрозы; n метод воздействия; n уязвимые места, которые могут быть использованы; n ресурсы (активы), которые могут пострадать.
1. Стандарты информационной безопасности предусматривают следующие сервисы безопасности: · аутентификация; · аутентификация источника; · управление доступом; · конфиденциальность; · конфиденциальность трафика; · целостность соединения; · целостность вне соединения; · неотказуемость. 2. Механизмы безопасности: · шифрование; · электронная цифровая подпись; · механизм управления доступом; · механизм контроля целостности данных; · механизм аутентификации; · механизм дополнения трафика; · механизм управления маршрутизацией; · механизм нотаризации (заверения). 3. Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Например, распространение криптографических ключей. 4. Администратор средств безопасности решает следующие задачи: · администрирование информационной системы в целом; · администрирование сервисов безопасности; · администрирование механизмов безопасности.
3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ. СОЗДАТЬ ДОКУМЕНТ В MS POWERPOINT И ЗАЩИТИТЬ ЕГО ОТ ИЗМЕНЕНИЙ, Т.Е. СДЕЛАТЬ ТАК, ЧТОБЫ ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ИЗМЕНИТЬ ЭТОТ ДОКУМЕНТ БЕЗ ПАРОЛИ.
|
