Затверджую

Вид материала

Документы

Содержание 1.3 Методологічні положення

Подобный материал:

• Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
• “Затверджую”, 639.38kb.
• Юрія Федьковича «затверджую», 585.95kb.
• Володимира Даля "затверджую", 183.23kb.
• Затверджую: Проректор з навчальної роботи, 59.36kb.
• «Затверджую», 21.74kb.
• Юрія Федьковича " затверджую, 825.92kb.
• Юрія Федьковича " затверджую, 245.34kb.
• Юрія Федьковича " затверджую, 501.24kb.
• Затверджую прийнятий на засіданні, 1283.44kb.

1.3 Методологічні положення

Визначення ТВ щодо технічного захисту інформації в ОЕ здійснюється з врахуванням наступного:

1. Розробник ОЕ у своїй документації (свідоцтвах) [5] надає опис та структуризацію функціональних можливостей ОЕ щодо безпеки з орієнтацією на Спільні критерії (СК) [6]. Свідоцтвами експертизи є будь-які сутності (програмне забезпечення, обладнання, документація, довідки, сертифікати та інше), що надаються на експертизу Замовником або Розробником і використовуються експертами для підтвердження відповідності ОЕ визначеним вимогам безпеки;
   
2. Замовник експертизи ОЕ надає Організатору у якості свідоцтва документ "Завдання з безпеки" (ЗБ) [7], який містить матеріали щодо проведення сертифікації ОЕ у Російській Федерації на відповідність вимогам безпеки, які визначаються нормативним документом Гостехкомісії Росії "Операційні системи. Клієнтські операційні системи. Профіль захищеності. Версія 1.0. 2003" [8];
   
3. формування ТВ передбачає визначення функціонального профілю захищеності (ФПЗ) у відповідності з НК;
   
4. нормативна база ДСТСЗІ СБУ України не має, на відміну від Російській Федерації, затвердженого ФПЗ для клієнтських операційних систем [8];
   
5. Національні та Спільні критерії мають єдині "корні" – канадські, американські та європейські критерії оцінки безпеки [9-11], що дозволяє співставити цілі безпеки, які визначені Замовником для ОЕ [7], з послугами НК;
   
6. експертиза встановлює відповідність ОЕ вимогам гарантій безпеки на рівні гарантій Г2 [3], який узгоджено протоколом від 04.08.2004 робочої наради представників Департаменту, Замовника та Організатора щодо рівня гарантій експертних досліджень з технічного захисту інформації операційної системи Microsoft Windows XP Professional;
   
7. необхідність формування ФПЗ з врахуванням функціонування ОЕ в складі автоматизованих систем (АС) класів 1, 2 та 3 (вимога договору між Замовником та Організатором щодо проведення державної експертизи).
   

У зв'язку з вищенаведеним передбачається для визначення ФПЗ ОЕ використовувати:

1. середовище безпеки, цілі безпеки та служби безпеки ОЕ, які визначені у документі [7], доповнені та уточнені з врахуванням НК, рівня гарантій Г2 і опису ОЕ [5];
   
2. нормативний документ "Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу" (НД ТЗІ 2.5-005-99) [2];
   
3. нормативний документ "Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2" (НД ТЗІ 2.5-008-2002) [12].
   

У ТВ наведено:

• опис ОЕ (розд. 2), який відображає:
  

• загальну характеристику ОЕ;
  
• основні функціональні можливості ОЕ;
  
• архітектуру ОЕ;
  
• архітектуру комплексу засобів захисту (КЗЗ) ОЕ;
  
• середовище функціонування і обмеження ОЕ;
  
• сервіси безпеки - сукупність функціональних можливостей ОЕ, яка структурована з урахуванням НК;
  

• середовище безпеки ОЕ (розд. 3), яке відображає:
  

• припущення щодо використання ОЕ у складі типових АС згідно з документом [2];
  
• потенційні загрози безпеки інформації при використанні ОЕ;
  
• політику безпеки АС, що регламентує порядок безпечної обробки інформації при використанні ОЕ;
  
• припущення щодо безпеки середовища використання ОЕ;
  

• цілі безпеки (розд. 4), які відображають:
  

• цілі безпеки для ОЕ - вимоги до функціональних властивостей КЗЗ ОЕ щодо протистояння визначеним загрозам безпеки інформації та реалізації політики безпеки;
  
• цілі безпеки для середовища ОЕ - вимоги до властивостей середовища використання ОЕ щодо забезпечення безпечного використання ОЕ;
  

• вимоги безпеки (розд. 5), які відображають:
  

• функціональні вимоги безпеки ОЕ, які базуються на профілях захисту, визначених у документах [2, 12], та уточнюються відповідно до визначених цілей безпеки і враховують особливості реалізації функцій безпеки ОЕ для 1, 2 та 3 класу АС;
  
• вимоги гарантій безпеки ОЕ, які визначаються рівнем гарантій „Г2” згідно НК;
  

• специфікація ОЕ (розд. 6) щодо:
  

• реалізації функцій безпеки ОЕ в межах сервісів безпеки та співставлення цієї реалізації з вищевизначеними функціональними вимогами безпеки;
  
• заходів забезпечення гарантій до безпеки ОЕ та співставлення цих заходів з вищевизначеними вимогами гарантій до безпеки ОЕ;
  

• формалізоване, у вигляді матриць, співставлення для ОЕ:
  

• функціональних можливостей та сервісів безпеки (додаток 1);
  
• цілей безпеки з визначеними політиками безпеки та загрозами (додаток 2);
  
• цілей безпеки для середовища безпеки з припущеннями щодо середовища використання (додаток 3);
  
• цілей безпеки з функціональними послугами безпеки (додаток 4);
  
• сервісів безпеки з функціональними послугами безпеки (додаток 5);
  
• вимог гарантій до безпеки ОЕ з заходами забезпечення гарантій до безпеки ОЕ (додаток 6);
  

• опис реалізації в ОЕ функціональних послуг безпеки "адміністративна конфіденційність" та "адміністративна цілісність" (додаток 7).