Основные особенности общих критериев безопасности информационных технологий

Страницы работы

Фрагмент текста работы

УГО6 – полуформально верифицированный проект и тестированный

УГО7 – формально верифицированный проект и тестированный

На следующих страницах назначение и применимость всех УГО приведены подробнее.

Задача обратной совместимости

УГО из ОК разработаны в целях сохранения гарантированности и результатов предыдущих оценок, выполненных с применением предшествующих критериев. Сравнение изначально возможно, но требует осмотрительности. Эта таблица может применяться для помощи при таких сравнениях, хотя она ни в коем случае не предназначена для заявления о полной эквивалентности, так как различаются способы получения гарантированности.

Общие критерии

Американские TCSEC

Европейские ITSEC

УГО0

D:

Минимальная защита

E0

УГО1

УГО2

C1:

Дискреционная защита

E1

УГО3

C2:

Защита контролируемого доступа

E2

УГО4

B1:

Защита по меткам безопасности

E3

УГО5

B2:

Структурированная защита

E4

УГО6

B3:

Домены безопасности

E5

УГО7

A1:

Верифицированный проект

E6

Уровни гарантированности оценки

Здесь аннотирован каждый из семи уровней гарантированности оценки. УГО1 является начальным уровнем. На уровнях до УГО4 повышается строгость и детализация, но не применяются специальные технические методы обеспечения безопасности. Четыре первых уровня могут быть применены к уже существующим продуктам и системам.

Выше УГО4 требуется расширяющееся применение специальных технических методов обеспечения безопасности. Чтобы ОО отвечал требованиям этих уровней гарантированности, они должны учитываться непосредственно при проектировании и разработке ОО. На завершающем УГО7 имеются значительные ограничения целесообразности выполнения требований вследствие как существенного влияния необходимых затрат на действия разработчика и оценщика, так и того, что самый простой из продуктов является, скорее всего, слишком сложным для применения известных в настоящее время методов формального анализа.

УГО1 – функционально тестированный

Это минимальный уровень гарантированности, на котором оценка имеет смысл и экономически оправдана. Он предназначен для обнаружения явных ошибок с минимальными издержками, но вряд ли позволит обнаружить неочевидные недостатки безопасности. Он применим при требовании невысокого уровня независимо гарантированной безопасности. УГО1 может использоваться для подтверждения того, что проявлена должная осторожность по отношению к системам, обрабатывающим персональную или подобную ей информацию.

Оценка на УГО1 предусматривает анализ сервисов безопасности с использованием для понимания режима безопасности ОО функциональной спецификации и спецификации интерфейсов ОО. Анализ поддержан независимым тестированием сервисов безопасности.

УГО5 – полуформально спроектированный и тестированный

УГО5 позволяет разработчику получить максимум гарантированности путем применения техники обеспечения безопасности, основанной на практике строгой коммерческой разработки, поддержанной умеренным применением специальных технических методов обеспечения безопасности. При проектировании и разработке такого ОО должна учитываться необходимость удовлетворения требований УГО5. УГО5 применим при требовании высокого уровня независимо гарантированной безопасности для запланированной разработки со строгим подходом к разработке без внесения излишних затрат на применение специальных технических методов обеспечения безопасности.

Оценка на УГО5 предусматривает анализ всей реализации. Гарантированность предоставляется применением формальной модели и полуформального представления функциональной спецификации и проекта верхнего уровня, а также полуформального показа соответствия. Поиск уязвимостей должен обеспечить уверенность в адекватном противодействии нападениям проникновения. Необходимо модульное построение ОО, а также проведение анализа тайных каналов.


УГО2 – структурно тестированный

Это наивысший уровень гарантированности, который достигается без взаимодействия, за исключением незначительных вспомогательных вопросов, с разработчиком. Если разработчик применяет общепринятые стандарты качества, УГО2 может быть достижим без разъяснений разработчика кроме помощи при функциональном тестировании безопасности. Он применим при требовании уровня независимо гарантированной безопасности от начального до среднего, когда практически недоступна полная документация по разработке ОО. Это может иметь место при обеспечении безопасности унаследованных систем или при ограниченной доступности разработчика.

Оценка на УГО2 предусматривает анализ сервисов

Похожие материалы

Информация о работе