30540

Стандартизация в области построения СУИБ: сходства и различия стандартов

Доклад

Математика и математический анализ

Доска: Стандарты: Ornge Book Red Book ISO IEC 15408 ISO IEC 17799 Стандарт BSI Стандарт США NIST 80030 РД гостехкомиссии России и стандарт ГОСТ Р ИСО МЭК 15408 Выступление: Рассмотрим стандарты информационной безопасности: Здесь выделены такие аспекты политики безопасности как добровольное дискреционное и принудительное мандатное управление доступом безопасность повторного использования объектов. Определяются инструменты оценки безопасности ИС и порядок их использования. В отличии от Ornge Book не содержит...

Русский

2013-08-24

26.41 KB

33 чел.

79. Стандартизация в области построения СУИБ: сходства и различия стандартов.

Доска:

Стандарты:

  1.  Orange Book
  2.  Red Book
  3.  ISO/IEC 15408
  4.  ISO/IEC 17799
  5.  Стандарт BSI
  6.  Стандарт США NIST 800-30
  7.  РД гостехкомиссии России и стандарт ГОСТ Р ИСО/МЭК 15408

Выступление:

Рассмотрим стандарты информационной безопасности:

  1.  Здесь выделены такие аспекты политики безопасности, как добровольное (дискреционное) и принудительное (мандатное) управление доступом, безопасность повторного использования объектов.
  2.  Введено понятие – сетевая доверенная вычислительная база. Выделен аспект – учет динамичности сетевых конфигураций. Среди защитных механизмов выделена криптография, помогающая поддерживать как конфиденциальность, так и целостность.
  3.  Определяются инструменты оценки безопасности ИС и порядок их использования. В отличии от Orange Book, не содержит предопределенных «классов безопасности». Как и в Orange Book, содержится два основных вида требований безопасности: функциональные и требования доверия. Недостатки: Отсутствие объектного подхода; функциональные требования не сгруппированы в осмысленные наборы (объектные интерфейсы), к которым могло бы применяться наследование.
  4.  Текущая версия стандарта ISO/IEC 17799:2005 рассматривает следующие актуальны вопросы обеспечения ИБ:
  5.  Необходимость обеспечения ИБ;
  6.  Основные понятия и определения ИБ;
  7.  Политика ИБ компании;
  8.  Организация ИБ на предприятии;
  9.  Классификация и управление корпоративными информационными ресурсами;
  10.  Кадровый менеджмент и ИБ;
  11.  Физическая безопасность;
  12.  Администрирование безопасности корпоративных ИС;
  13.  Управление доступом;
  14.  Требования по безопасности к корпоративным ИС в ходе их разработки, эксплуатации и сопровождения;
  15.  Управление бизнес-процессами компании с точки зрения ИБ;
  16.  Внутренний аудит ИБ компании.

Вторая часть стандарта определяет возможные функциональные спецификации корпоративных систем управления ИБ с точки зрения их проверки на соответствие требованиям первой части.

  1.  Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности, возможные контрмеры. Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты ИТ и максимально учесть их специфику.
  2.  Рассматривает вопросы управления информационными рисками
  3.  Необходимо уточнить концептуальный подход к обеспечению безопасности ИТ с учетом новых понятий и терминологий.

Необходимо усовершенствовать и развить методическую базу, включая разработку комплекса типовых методик проведения сертификационных испытаний.

Дополнительно:

     Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

  1.  Стандарт BSI

Можно выделить следующие блоки этого документа:

  1.  Методология управления ИБ;
  2.  Компоненты информационных технологий:
  3.  Основные компоненты;
  4.  Инфраструктура;
  5.  Клиентские компоненты различных типов;
  6.  Сети различных типов;
  7.  Элементы систем передачи данных;
  8.  Телекоммуникация;
  9.  Стандартное ПО;
  10.  Базы данных;
  11.  Каталоги угроз безопасности и контрмер.

  1.  Стандарт США NIST 800-30

Управление рисками:

Выявление основных классов рисков для данных ИС, вытекающих из целей и задач, концепция обеспечения ИБ;

Выявление рисков, специфичных для данной ИС;

До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков;

Периодическая переоценка рисков, связанная с изменением внешних условий и в конфигурации ИС;

Соблюдение требований ИБ по отношению к вводимым информационным ресурсам.

  1.  РД гостехкомиссии России и стандарт ГОСТ Р ИСО/МЭК 15408

Это позволит:

  1.  Выйти на современный уровень критериальной базы оценки безопасности ИТ;
  2.  Создать новое поколение межведомственных нормативно-методических документов по оценки безопасности ИТ на единой основе;
  3.  Ускорить разработку функциональных стандартов по базовым видам ИТ  на основе гармонизации с уже разработанными в мире профилями защиты;
  4.  Обеспечить взаимное признание сертификатов для коммерческих продуктов и сэкономит тем самым значительные финансовые и материальные средства.

  1.  ISO/IEC 15408

       По историческим причинам данный стандарт часто называют “Общими критериями” (или даже ОК). Мы также будем использовать это сокращение.

       “Общие критерии” на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от “Оранжевой книги”, ОК не содержат предопределенных “классов безопасности”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.

       С программистской точки зрения ОК можно считать набором библиотек, помогающих писать содержательные “программы” - задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, “с нуля”, программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и “Общие критерии” предоставили соответствующий инструментарий.
Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным функциям.

Как и “Оранжевая книга”, ОК содержат два основных вида требований безопасности:

  1.  функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
  2.  требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или информационной системы.

Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:

  1.  определение назначения, условий применения, целей и требований безопасности;
  2.  проектирование и разработка;
  3.  испытания, оценка и сертификация;
  4.  внедрение и эксплуатация.

В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.

В свою очередь, угрозы характеризуются следующими параметрами:

  1.  источник угрозы;
  2.  метод воздействия;
  3.  уязвимые места, которые могут быть использованы;
  4.  ресурсы (активы), которые могут пострадать.

Уязвимые места могут возникать из-за недостатка в:

  1.  требованиях безопасности;
  2.  проектировании;
  3.  эксплуатации.

       Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.

       С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в “Общих критериях” введена иерархия класс-семейство-компонент-элемент.

       Классы определяют наиболее общую, “предметную” группировку требований (например, функциональные требования подотчетности).
Семейства в пределах класса различаются по строгости и другим нюансам требований.
       Компонент - минимальный набор требований, фигурирующий как целое.
       Элемент - неделимое требование.

Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все комбинации компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библиотечной организации, хотя и не заменяет объединение функций в содержательные объектные интерфейсы.

       Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).

       Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.


 

А также другие работы, которые могут Вас заинтересовать

23042. Напівпровідникові діоди. Вольт-амперна характеристика (ВАХ) 83.5 KB
  Вольтамперна характеристика ВАХ – це залежність величини струму ІД крізь pn перехід діода від величини і полярності напруги UД прикладеної до діода. Виконання роботи передбачає використання осцилографа як характериографа з метою одержання на екрані двоканального осцилографа зображення ВАХ діода а також побудову ВАХ шляхом вимірювання деякої кількості величин струму ІД що відповідають певним величинам та полярності напруги UД і представленням результату у вигляді графіка. Залежність струму крізь діод від прикладеної до...
23043. Транзистори 88 KB
  Вихідна вольтамперна характеристика ВАХ біполярного транзистора – це залежність величини струму колектора ІК від напруги між колектором та емітером UКЕ при певному струмі бази ІБ або напруги між базою та емітером UБЕ . Вихідна вольтамперна характеристика ВАХ польового транзистора – це залежність величини струму стока ІС від напруги між стоком та витоком UСВ при певній напрузі між затвором та витоком UЗВ . Виконання роботи передбачає використання осцилографа як характериографа з метою одержання на екрані двоканального...
23044. ПІДСИЛЮВАЧІ НА ТРАНЗИСТОРАХ 103 KB
  Він є лише керувальним пристроєм а збільшення потужності сигналу відбувається за рахунок зовнішнього джерела напруги струмом в колі якого й керує транзистор. Характер зміни вхідного сигналу повинен передаватися на вихід без помітних спотворень. Кажуть що має місце інверсія фази сигналу. Як випливає з рівняння ЕберсаМола [1] імпеданс для малого сигналу з боку емітера при фіксованій напрузі на базі дорівнює rе = kT еIк 5 де k – стала Больцмана Т – абсолютна температура е – заряд електрона Iк – струм колектора.
23045. Дешифратори та мультиплексори 1.3 MB
  Це здійснюється аналогічно заданню параметрів елементів схеми за допомогою редактора пробних сигналів Stimulus Editor. Це робиться аналогічно заданню мітки вузла схеми причому в описі шини слід перерахувати через кому мітки усіх вузлів що входять у шину Альтернативна можливість полягає у використанні конструкцій типу BUS[1n] де BUS – ім’я шини BUS[1]BUS[n] – відповідні мітки вузлів. Пакет OrCAD дозволяє провести суто цифрове моделювання для даного вузла схеми якщо до цього вузла під’єднані лише цифрові входи та виходи. Зазначимо що...
23046. Тригери 1.45 MB
  1 зображено схему найпростішого RSтригера на елементах 2ІНЕ серії 74 із зворотнім зв’язком. Встановлення тригера в 10 відбувається при подачі нуля на NSNR при цьому протилежний вхід повинен бути встановлений в одиницю. Подача двох нулів є забороненою комбінацією при якій стан тригера буде невизначеним. Для даної схеми тригера доцільно у початковий момент встановити режим зберігання інформації потім у деякий момент подати імпульс встановлення 1 потім імпульс встановлення 0 після цього знову використати режим зберігання і нарешті...
23047. Регістри та лічильники 1.83 MB
  Виведіть графік залежності вхідних Reset Shift Info та вихідних Q0Q2 цифрових сигналів регістра від часу та поясніть ці залежності. Виведіть відповідні графіки для вхідних та вихідних сигналів та поясніть ці залежності. Джерела пробних сигналів підберіть таким чином щоб регістр послідовно виконав операції: а паралельного запису числа 0101; б перетворення цього числа на послідовний код; в послідовного запису числа 1010; Проведіть моделювання для цієї схеми. Виведіть відповідні графіки для вхідних та вихідних сигналів та поясніть ці...
23048. Імпульсні цифрові схеми 2.62 MB
  Формувачі імпульсів. 1 зображено схему формувача імпульсів на логічних елементах ІНЕ. 1 Недоліком цієї схеми є те що для формування імпульсів досить великої тривалості потрібно використати велику кількість логічних елементв. 2 Для формування імпульсів з синусоїдальної напруги часто застосовується тригер Шмітта рис.
23049. Схеми на операційних підсилювачах. Інвертуюче увімкнення ОП 2.04 MB
  Завдяки своєму високим коефіцієнту підсилення та вхідному опору а також низькому опору вихідному операційні підсилювачі ОП дуже широко застосовуються у схемотехніці особливо в мішаних аналоговоцифрових схемах. Додавши до ОП коло зворотнього звязку можна отримати підсилювач практично з будьяким коефіцієнтом підсилення. Коефіцієнт підсилення такої схеми у межах лінійності ОП рівний Rc Rin. Параметри ОП дозволяють добирати Rc та Rin у широкому діапазоні опорів отримуючи різні коефіцієнти підсилення.
23050. Цифро-аналогові перетворювачі 1.33 MB
  1 зображено схему 4розрядного ЦАП. 1 Лічильник U3A та пробні джерела складають тестову схему яка послідовно подає на вхід ЦАП цифрові коди від 0 0000 до 15 1111. Зростаючий код на виході ЦАП буде перетворюватися на лінійно зростаючу напругу. 2 зображено схему дослідження 8розрядного інтегрального ЦАП.