Quot;Критерии оценки безопасности информационных технологий".
В отличие от "Оранжевой книги", ОК не содержат предопределенных "классовбезопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.Как и "Оранжевая книга", ОК содержат два основных вида требованийбезопасности:функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки-аппаратно-программного продукта или информационной системы.
Безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки.
Выделяются следующие этапы:
-определение назначения, условий применения, целей и требований безопасности;
-проектирование и разработка;
-испытания, оценка и сертификация;
-внедрение и эксплуатация.
В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.
Чтобы структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент.
Классыопределяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
Семействавпределах класса различаются по строгости и другим нюансам требований.
Компонент-минимальный набор требований, фигурирующий как целое.
Элемент-неделимое требование.
Могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты(ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасностисодержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Перечислим классы функциональных требований ОК:
идентификация и аутентификация;
защита данных пользователя;
защита функций безопасности(требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);
управление безопасностью(требования этого класса относятся к управлению
атрибутами и параметрами безопасности);
аудит безопасности(выявление, регистрация, хранение, анализ данных,
затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);
доступ к объекту оценки;
приватность(защита пользователя от раскрытия и несанкционированногоиспользования его идентификационных данных);
использование ресурсов(требования к доступности информации);
криптографическая поддержка(управление ключами);
связь(аутентификация сторон, участвующих в обмене данными);
доверенный маршрут/канал(для связи с сервисами безопасности).
Класс "Приватность" содержит 4 семейства функциональных требований.
Анонимность. Позволяет выполнять действия без раскрытия идентификатораПользователядругимпользователям,субъектами/илиобъектам. Анонимностьможетбытьполнойиливыборочной. Впоследнемслучаеонаможетотноситьсянековсемоперациями/или не ко всем пользователям (например, у уполномоченного пользователя можетоставаться возможность выяснения идентификаторов пользователей).
Псевдонимность. Напоминает анонимность, но при применении псевдонимаПоддерживаетсяссылканаидентификаторпользователядляобеспеченияподотчетностиили для других целей.
Невозможность ассоциации. Семейство обеспечивает возможность неоднократногоиспользования информационных сервисов, но не позволяет ассоциировать случаииспользованиямеждусобой иприписатьиходному лицу. Невозможностьассоциациизащищает от построения профилей поведения пользователей (и, следовательно, отполучения информации на основе подобных профилей).
Скрытность. Требования данного семейства направлены на то, чтобы можно былоИспользоватьинформационныйсервисссокрытиемфактаиспользования. Дляреализациискрытности может применяться, например, широковещательное распространениеинформации,безуказания конкретногоадресата. Годятсядляреализациискрытности иметоды стеганографии, когда скрывается не только содержание сообщения (как вкриптографии),ноисамфактегоотправки.