Jump to content

Профиль защиты

Профиль защиты ( PP ) — это документ, используемый в процессе сертификации в соответствии с ISO/IEC 15408 и Общими критериями (CC). Как общая форма цели безопасности (ST), она обычно создается пользователем или сообществом пользователей и обеспечивает независимую от реализации спецификацию требований к обеспечению безопасности информации . PP представляет собой комбинацию угроз, целей безопасности, предположений, функциональных требований безопасности (SFR), требований обеспечения безопасности (SAR) и обоснований.

ПЗ определяет общие критерии оценки безопасности для обоснования заявлений поставщиков данного семейства продуктов информационных систем. Среди прочего, в нем обычно указывается уровень гарантии оценки (EAL), цифры от 1 до 7, указывающий глубину и строгость оценки безопасности, обычно в форме подтверждающей документации и тестирования, на предмет соответствия продукта требованиям безопасности, указанным в ПП.

Национальный институт стандартов и технологий (NIST) и Агентство национальной безопасности (АНБ) договорились сотрудничать в разработке утвержденных США правительством PP.

Цель

[ редактировать ]

ПЗ четко формулирует проблему безопасности для данного набора систем или продуктов, известную как цель оценки (ТОО), и определяет требования безопасности для решения этой проблемы, не диктуя, как эти требования будут реализованы. ПЗ может наследовать требования от одного или нескольких других ПЗ.

Чтобы получить оценку и сертификацию продукта в соответствии с CC, поставщик продукта должен определить целевой уровень безопасности (ST), который может соответствовать одному или нескольким PP.Таким образом, ПЗ может служить шаблоном для ЗБ продукта.

Проблемные места

[ редактировать ]

Хотя EAL легче всего сравнивать непрофессионалам, его простота обманчива, поскольку это число довольно бессмысленно без понимания последствий для безопасности PP(s) и ST, используемых для оценки. Технически сравнение оцениваемых продуктов требует оценки как EAL, так и функциональных требований. К сожалению, интерпретация последствий безопасности PP для предполагаемого приложения требует очень глубоких знаний в области ИТ-безопасности. Оценка продукта – это одно, а решение о том, подходит ли оценка CC какого-либо продукта для конкретного применения – совсем другое. Не очевидно, какое доверенное агентство обладает глубокими знаниями в области ИТ-безопасности, необходимыми для оценки системной применимости продуктов, оцениваемых по общим критериям.

Проблема применения оценок не нова. Эта проблема была решена несколько десятилетий назад в рамках масштабного исследовательского проекта, в ходе которого были определены функции программного обеспечения, которые могут защитить информацию, оценена их надежность и сопоставлены функции безопасности, необходимые для конкретных рисков операционной среды. Результаты были задокументированы в серии Rainbow Series . Вместо того, чтобы разделять EAL и функциональные требования, « Оранжевая книга» следовала менее продвинутому подходу, определяя возможности функциональной защиты и соответствующие требования доверия как одну категорию. Таким образом были определены семь таких категорий. Кроме того, в «Желтой книге» определена матрица условий безопасности и оценен риск каждого из них. Затем было точно установлено, какая среда безопасности соответствует каждой из категорий Оранжевой книги. Этот подход позволил создать недвусмысленную кулинарную книгу для непрофессионала, позволяющую определить, пригоден ли продукт для использования в конкретном приложении. Утрата этой прикладной технологии, похоже, стала непреднамеренное последствие замены Оранжевой книги Общими критериями.

Охранные устройства с ПП

[ редактировать ]

Утвержденный документ правительства США

[ редактировать ]

Утвержденный государственный PP за пределами США

[ редактировать ]
  • Смарт-карты
  • Системы дистанционного электронного голосования [1]
  • Доверенная среда выполнения [2]
[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ М. Волкамер (2009). Оценка электронного голосования (глава 8) . Спрингер. ISBN  978-3-642-01661-5 . Архивировано из оригинала 3 февраля 2013 г.
  2. ^ https://www.commoncriteriaportal.org/files/ppfiles/anssi-profil_PP-2014_01.pdf . [ пустой URL PDF ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Protection_Profile&oldid=1227751948"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1524740f8fa8d62a4035bd85bbeda598__1717766460
URL1:https://arc.ask3.ru/arc/aa/15/98/1524740f8fa8d62a4035bd85bbeda598.html
Заголовок, (Title) документа по адресу, URL1:
Protection Profile - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)