Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 31

Рисунок 3.1 – Процес забезпечення безпеки ІТ

У зв’язку з цим власник активів вимушений вживати заходів, спрямованих на запобігання загрозам або зменшення  ступеню небезпеки. Для ефективної протидії зловмиснику, власник активів має здійснити аналіз загроз. У якості загроз розглядаються загрози, які обумовлені яка випадковими так і навмисними діями людей.

Загрози та існуючі вразливості є основними факторами ризику власника активів для зменшення або усунення якого він вживає заходи безпеки. Забезпечення безпеки інформаційних технологій це система заходів, які спрямовані на запобігання або нейтралізацію впливів загроз безпеки та на здійснення встановленої політики безпеки під час створення, функціонування та експлуатації систем та продуктів інформаційних технологій.

Продукти інформаційних технологій – це сукупність програмних, програмно-апаратних засобів інформаційних технологій, що являє собою визначені функціональні можливості та призначена як для безпосереднього (самостійного) використання, так і для включення у різноманітні системи інформаційних технологій.

Система інформаційних технологій –це конкретна реалізація інформаційних технологій з визначеним призначенням та умовами експлуатації, яка призначена для рішення задач автоматизації в конкретній області застосування.

3.3.2 Загальна модель об’єкту оцінки

Продукт або система інформаційних технологій разом із документацією (наприклад керівництв адміністратора та користувача) є предметом оцінки безпеки та називається об’єктом оцінки.

Сукупність правил, процедур, практичних прийомів та керівних принципів в галузі безпеки, якими керується організація у своєї діяльності, складає політику безпеки організації.

Сукупність правил, які регулюють управління ресурсами, їх захист та розподіл в середині продукту або системи інформаційних технологій та які виражаються за допомогою функціональних вимог безпеки, складають політику безпеки продукту (системи) інформаційних технологій.

Політика безпеки продукту (системи) ІТ, у свою чергу, включає множину політик функцій безпеки. Функція безпеки характеризує функціональні можливості частини або частин ІТ-продукту (системи), що забезпечують виконання підмножини правил політики безпеки ІТ-продукту (системи). Кожна політика функції безпеки має свою область застосування та можливості управління.

Сукупність всіх апаратних, програмно-апаратних та програмних засобів ІТ-продукту (системи), які реалізують сукупність всіх функцій безпеки ІТ-продукту (системи) та здійснюють політику безпеки, складає комплекс засобів захисту ІТ-продукту (системи).

Сукупність інтерфейсів, як інтерактивних (чоловічо-машинні  інтерфейси), так і програмні (інтерфейси прикладних програм) з використанням яких здійснюється доступ до ресурсів ІТ-продукту (системи) за допомогою функцій безпеки складають інтерфейси функцій безпеки об’єкта.

На рисунку 3.2 надається загальна модель об’єкту оцінки.

Рисунок 3.2 – Загальна модель об’єкту оцінки

TOE (Target of Evaluation) – об’єкт оцінки.

SFP (Security function policy) – політика функції безпеки.

TSP (TOE security policy) – політика безпеки об’єкту оцінки.

SF (security function) – функція безпеки.

TSF (TOE security function) – функції безпеки об’єкту оцінки.

TSFI (TOE security function interface) – інтерфейс функцій безпеки об’єкту оцінки.

3.3.3 Безпека у життєвому циклі ІТ-продуктів (систем)

Безпека інформаційних технологій досягається комплексним застосуванням законодавчих, організаційних та технологічних засобів безпеки, технічних та програмних засобів захисту на всіх етапах життєвого циклу ІТ-продуктів (систем). Міжнародний стандарт визначає основні процедури, заходи та методи, які мають використовуватися під час створення та застосування ІТ-продуктів (систем) з метою досягнення встановленого рівня гарантій безпеки.