Крите́рії оці́нки інформаці́йної безпе́ки (англ. Common Criteria) є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступенів захищеності.
З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.
Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA.
Ця система передбачає такі основні характеристики інформаційної безпеки:
- Конфіденційність,
- цілісність,
- доступність (англ. Confidentiality, Integrity and Availability (CIA)).
Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, програмному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використання захисної продукції для гарантування інформаційної безпеки в межах організацій.
Нормативний документ ТЗІ 2.5-004-99
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України прийняв нормативний документ технічного захисту інформації 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу». НД ТЗІ 2.5-004 було розроблено на основі Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) (т. зв. Канадських критеріїв), який також було використано при розробці Common Criteria.
Функціональні критерії
Функціональні критерії розбиті на три групи вимог захисту проти певних типів загроз:
Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головних послуг.
Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності.
Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності.
Критерій гарантій
Окрім функціональних критеріїв захищеності існують такі критерії гарантій, що дозволяють оцінити коректність реалізації систем захисту. Ці критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
Міжнародний стандарт ISO/IEC 15408
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.
Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.
Нормативна документація
- Міжнародний стандарт ISO/IEC 15408. В Росії цей стандарт введено як «ГОСТ ИСО/МЭК 15408-2002». В Україні стандарт цей документ введено до Плану національної стандартизації на 2007 рік.
- НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».
Див. також
Примітки
- Комплексні системи захисту інформації: бути чи не бути? http://infosafe.ua/article-6 [ 9 квітня 2018 у Wayback Machine.]
- Common Criteria: an effective deployment CETIC J.F. Molderez Discussion meeting 02/06/2005 https://www.cetic.be/IMG/pdf/GDD0206-v4.pdf [ 7 квітня 2022 у Wayback Machine.]
Посилання
- Нормативні документи технічного захисту інформації [ 22 січня 2012 у Wayback Machine.]
- (англ.)
- Міжнародний стандарт ISO/IEC 15408 [ 12 травня 2008 у Wayback Machine.].
Це незавершена стаття з інформаційної безпеки. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Krite riyi oci nki informaci jnoyi bezpe ki angl Common Criteria ye metodologichnoyu bazoyu dlya viznachennya vimog zahistu komp yuternih sistem vid nesankcionovanogo dostupu stvorennya zahisnih sistem ta ocinki stupeniv zahishenosti Informacijna bezpeka Kriteriyi ocinki informacijnoyi bezpeki Cilisnist Dostupnist Konfidencijnist Sposterezhnist Nevidmovnist Normativni dokumenti COBIT ITIL ISO IEC 27001 2013 Zabezpechennya Politika SUIB KSZI SZI Zahist informaciyi Tehnichnij zahist informaciyi Inzhenernij zahist informaciyi Kriptografichnij zahist informaciyi Organizacijnij zahist informaciyi pr Z dopomogoyu kriteriyiv mozhlivo porivnyati rizni mehanizmi zahistu informaciyi ta viznachiti neobhidnu funkcionalnist takih mehanizmiv u rozrobci zahishenih komp yuternih sistem Dlya harakteristiki osnovnih kriteriyiv informacijnoyi bezpeki zastosovuyut model triadi CIA Cya sistema peredbachaye taki osnovni harakteristiki informacijnoyi bezpeki Konfidencijnist cilisnist dostupnist angl Confidentiality Integrity and Availability CIA Informacijni sistemi analizuyutsya v troh golovnih sektorah tehnichnih zasobah programnomu zabezpechenni i komunikaciyah z metoyu identifikuvannya i zastosuvannya promislovih standartiv informacijnoyi bezpeki yak mehanizmi zahistu i zapobigannya na troh rivnyah abo sharah fizichnij osobistij i organizacijnij Po suti proceduri abo pravila zaprovadzhuyutsya dlya informuvannya administratoriv koristuvachiv ta operatoriv shodo vikoristannya zahisnoyi produkciyi dlya garantuvannya informacijnoyi bezpeki v mezhah organizacij Normativnij dokument TZI 2 5 004 99Departament specialnih telekomunikacijnih sistem ta zahistu informaciyi Sluzhbi bezpeki Ukrayini prijnyav normativnij dokument tehnichnogo zahistu informaciyi 2 5 004 99 Kriteriyi ocinki zahishenosti informaciyi v komp yuternih sistemah vid nesankcionovanogo dostupu ND TZI 2 5 004 bulo rozrobleno na osnovi Canadi an Trusted Computer Product Evaluation Criteria CTCPEC t zv Kanadskih kriteriyiv yakij takozh bulo vikoristano pri rozrobci Common Criteria Funkcionalni kriteriyiSkladovi informacijnoyi bezpeki abo vlastivosti konfidencijnist angl Confidentiality privacy cilisnist angl Integrity dostupnist angl Availability triada CIA Funkcionalni kriteriyi rozbiti na tri grupi vimog zahistu proti pevnih tipiv zagroz Konfidencijnist Zagrozi sho vidnosyatsya do nesankcionovanogo oznajomlennya z informaciyeyu stanovlyat zagrozi konfidencijnosti Yaksho isnuyut vimogi shodo obmezhennya mozhlivosti oznajomlennya z informaciyeyu to vidpovidni poslugi vidnosyatsya do kriteriyiv konfidencijnosti Ye 5 golovnih poslug Cilisnist Zagrozi sho vidnosyatsya do nesankcionovanoyi modifikaciyi informaciyi stanovlyat zagrozi cilisnosti U vipadku yaksho isnuyut vimogi shodo obmezhennya mozhlivosti modifikaciyi informaciyi to yih vidnosyatsya do kriteriyiv cilisnosti Dostupnist Zagrozi sho vidnosyatsya do porushennya mozhlivosti vikoristannya komp yuternih sistem abo obroblyuvanoyi informaciyi stanovlyat zagrozi dostupnosti Yaksho isnuyut vimogi shodo zahistu vid vidmovi v dostupi abo zahistu vid zboyiv to yih vidnosyatsya do kriteriyiv dostupnosti Kriterij garantijOkrim funkcionalnih kriteriyiv zahishenosti isnuyut taki kriteriyi garantij sho dozvolyayut ociniti korektnist realizaciyi sistem zahistu Ci kriteriyi vklyuchayut vimogi do arhitekturi kompleksu zasobiv zahistu seredovisha rozrobki poslidovnosti rozrobki viprobuvannya kompleksu zasobiv zahistu seredovisha funkcionuvannya i ekspluatacijnoyi dokumentaciyi Mizhnarodnij standart ISO IEC 15408 Standart ISO IEC 15408 Zagalni kriteriyi ocinki bezpeki informacijnih tehnologij angl Common Criteria for Information Technology Security Evaluation opisuye infrastrukturu Framework v yakij koristuvachi komp yuternoyi sistemi mozhut opisati vimogi rozrobniki mozhut zayaviti pro vlastivosti bezpeki produktiv a eksperti z bezpeki viznachiti chi zadovolnyaye produkt zayavam Takim chinom cej standart dozvolyaye buti vpevnenim sho proces opisu rozrobki ta perevirki produktu buv provedenij v strogomu poryadku Proobrazom danogo dokumenta posluzhili Kriteriyi ocinki bezpeki informacijnih tehnologij angl Evaluation Criteria for IT Security ECITS robota nad yakimi pochalasya v 1990 roci Standart mistit dva osnovnih vidi vimog bezpeki funkcionalni sho visuvayutsya do funkcij bezpeki i realizuye yih mehanizmiv i vimogi doviri yaki pred yavlyayutsya do tehnologiyi ta procesu rozrobki ta ekspluataciyi Normativna dokumentaciya Mizhnarodnij standart ISO IEC 15408 V Rosiyi cej standart vvedeno yak GOST ISO MEK 15408 2002 V Ukrayini standart cej dokument vvedeno do Planu nacionalnoyi standartizaciyi na 2007 rik ND TZI 2 5 004 99 Kriteriyi ocinki zahishenosti informaciyi v komp yuternih sistemah vid nesankcionovanogo dostupu Div takozhInformacijna bezpeka Zahist informaciyiPrimitkiKompleksni sistemi zahistu informaciyi buti chi ne buti http infosafe ua article 6 9 kvitnya 2018 u Wayback Machine Common Criteria an effective deployment CETIC J F Molderez Discussion meeting 02 06 2005 https www cetic be IMG pdf GDD0206 v4 pdf 7 kvitnya 2022 u Wayback Machine PosilannyaNormativni dokumenti tehnichnogo zahistu informaciyi 22 sichnya 2012 u Wayback Machine angl Mizhnarodnij standart ISO IEC 15408 12 travnya 2008 u Wayback Machine Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi