XS
SM
MD
LG
Государственный Университет Телекоммуникаций

Адрес:
03110, Украина
г. Киев, ул. Соломенская, 7
Контактная информация:
Государственный Университет Телекоммуникаций

Уровень гарантий защиты информациии информационно-коммуникационных системах

11:16, 10-10-2021

Нормативный документ ТЗИ 2.5-004-99 «Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа» устанавливает критерии оценки защищенности информации. К ним относятся функциональные критерии (позволяют оценить наличие услуг безопасности) и критерии гарантий (позволяют оценить корректность реализации услуг безопасности). Критерии включают требования к архитектуре комплекса средств защиты, среды разработки, последовательности разработки, испытания комплекса средств защиты, среды функционирования и эксплуатационной документации.

В общем существуют семь уровней гарантий - от Г-1 до Г-7. Чем выше, тем более защищенной есть система.

Большинство автоматизированных систем на сегодня соответствуют уровню Г-2 и Г-3 и это достаточно высокий уровень гарантий. В Украине уровне гарантий Г-3 и Г-4 имеют лишь некоторые специализированные системы военного назначения (например, Г-3 - это уровень гарантий комплекса связи командно-штабной машины). Уровни Г-5, 6 и 7 пока не получила ни одна информационная система. Кстати, уровню гарантий Г-2 также соответствуют программные продукты для государственного и гражданского сектора от ведущих мировых разработчиков, таких как Cisco, Microsoft, ESET, IBM и др.

Уровень гарантий Г2 соответствует уровню EAL 3 международного стандарта ISO / IEC 15408 «Common Criteria for Information Technology Security Evaluation». Уровень Г3 соответствует уровню EAL 4 международного стандарта ISO / IEC 15408 «Common Criteria for Information Technology Security Evaluation».

Перечисленные уровне гарантий подтверждают полную контролируемость и управляемость процессов разработки, поставки и сопровождения программного обеспечения, исключает возможность случайного или преднамеренного утечки, несанкционированного сбора и передачи данных третьим лицам или внесение злоумышленниками программных закладок в исходный код ПО на всех этапах жизненного цикла создания и эксплуатации ПО .

Критерии гарантий включают требования к архитектуре КСЗ, среды разработки, последовательности разработки, среды функционирования, документации и испытаний КСЗ. В этих условиях вводится семь уровней гарантий, которые являются иерархическими. Требования излагаются по разделам. Для того, чтобы КС получила определенный уровень гарантий (если она не может получить более высокий), должны быть удовлетворены все требования, определенные для данного уровня в каждом из разделов.

Требования разделены по разным подразделениям, обеспечивающим безопасность с разных сторон:

  1. Архитектура - Требования к архитектуре обеспечивают гарантии того, что КВС в состоянии полностью реализовать политику безопасности.
  2. Среда разработки - Требования к среде разработки обеспечивают гарантии того, что процессы разработки и сопровождения оцениваемой КС полностью управляемыми со стороны разработчика.
  3. Последовательность разработки - Требования к процессу проектирования (последовательности разработки) обеспечивают гарантии того, что на каждой стадии разработки (проектирование) существует точное описание КС и реализация КС точно соответствует исходным требованиям (политике безопасности).
  4. Среда функционирования - Требования к среде функционирования обеспечивают гарантии того, что КС поставляется Заказчику без несанкционированных модификаций, а также устанавливается и инициируется Заказчиком так, как это предусмотрено Разработчиком.

Документация - Требования к документации являются общими для всех уровней гарантий.

В виде отдельных документов или разделов (подразделений) других документов Разработчик должен представить описание услуг безопасности, реализуемых КСЗ, установки администратору по услугам безопасности, установки пользователя по услугам безопасности.

В описании функций безопасности должны быть изложены основные, необходимые для правильного использования услуг безопасности, принципы политики безопасности, реализуемой КСЗ оцениваемой КС, а также сами услуги.

Установки администратору по услугам безопасности должны содержать описание средств инсталляции, генерации и запуска КС, описание всех возможных параметров конфигурации, которые могут использоваться в процессе инсталляции, генерации и запуска КС, описание свойств КС, могут быть использованы для периодической оценки правильности функционирования КСЗ, а также инструкции по использованию администратором услуг безопасности для поддержки политики безопасности, принятой в организации, эксплуатирующей КС.

Установки пользователю по услугам безопасности должны содержать инструкции по использованию функций безопасности обычным пользователем (не администратором).

Название документов (разделов) не регламентируется. Описание услуг безопасности может отличаться для пользователя и администратора. Руководство администратору и установки пользователю могут быть объединены в руководство по установке и эксплуатации.

Именно на кафедре систем информационной и кибернетической защиты студенты получают необходимые знания, которые позволят им, используя «уровни гарантий», оценивать защищенность информации в компьютерных системах от несанкционированного доступа.

Читайте также

Про кафедру

Кафедра Систем информационной и кибернетической защиты

Получить консультацию

Ваш запрос на обратный звонок получит заведующий кафедрой
Отправить запрос

Абитуриенту

Специализация: Системы технической защиты информации

Специалисты по технической защите информации - это уникальные специалисты, которые совмещают теоретические и практические знания в областях: информатики, архитектуры компьютеров, систем и устройств информационной и кибернетической безопасности, проектирования и эксплуатации комплексных систем защиты информации.

В процессе обучения студенты овладевают современные системы защиты информации, многофункциональные поисковые приборы, аппаратуру специальных исследований для поиска и нейтрализации закладных устройств, предотвращения утечки информации через различные физические (не только цифровые) каналы, получают международные сертификаты.

Специализация: Системы технической защиты информации

Специалисты по технической защите информации - это уникальные специалисты, которые совмещают теоретические и практические знания в областях: информатики, архитектуры компьютеров, систем и устройств информационной и кибернетической безопасности, проектирования и эксплуатации комплексных систем защиты информации.

В процессе обучения студенты овладевают современные системы защиты информации, многофункциональные поисковые приборы, аппаратуру специальных исследований для поиска и нейтрализации закладных устройств, предотвращения утечки информации через различные физические (не только цифровые) каналы, получают международные сертификаты.

Просмотров: 710