Jump to content

Цель безопасности

Общие критерии оценки безопасности информационных технологий, версия 3.1, часть 1 (называемые CC 3.1 или CC) [1] определяет цель безопасности ( ST ) как «зависимое от реализации заявление о потребностях безопасности для конкретной определенной цели оценки ( ОО )». Другими словами, ЗБ определяет границы и детали ОО. В процессе оценки продукта в соответствии с CC документ ЗБ предоставляется поставщиком продукта.

ЗБ определяет безопасность обеспечения информации и функциональные требования для данного продукта информационной системы, который называется целью оценки (ТОО). ЗБ представляет собой полное и строгое описание проблемы безопасности с точки зрения описания ОО, угроз, предположений, целей безопасности, функциональных требований безопасности (SFR), требований обеспечения безопасности (SAR) и обоснований. SAR обычно обозначаются цифрами от 1 до 7, называемыми Evaluation Assurance Level (EAL), что указывает на глубину и строгость оценки безопасности, обычно в форме подтверждающей документации и тестирования, на предмет соответствия продукта SFR. [ нужна ссылка ]

ЗБ содержит некоторую (но не очень подробную) информацию, специфичную для реализации, которая демонстрирует, как продукт соответствует требованиям безопасности.Оно может относиться к одному или нескольким профилям защиты (PP). В таком случае ЗБ должно соответствовать общим требованиям безопасности, приведенным в каждом из этих ПЗ, и может определять дополнительные требования.

Обзор целей безопасности

[ редактировать ]
  1. Введение – обзор того, что делает ОО, включая ключевые функции и назначение.
    • Ссылка на ST
    • Ссылка на ОО
    • Обзор ОО
    • ОО Описание
  2. Заявления о соответствии – идентифицирует заявления о соответствии для оценки ОО.
    • Заявления о соответствии версии CC
    • Заявления о соответствии требованиям CC Part 2
    • Заявления о соответствии требованиям CC Part 3
    • Заявления о соответствии РР – строгое соответствие или доказуемое соответствие.
  3. Определение проблемы безопасности – описывает угрозы и предположения относительно операционной среды. Цель состоит в том, чтобы продемонстрировать проблему безопасности, которую должен решить ОО и его операционная среда.
    • Угрозы – неблагоприятное действие, выполняемое агентом угрозы в отношении актива. Агенты угроз описываются такими аспектами, как опыт, ресурсы, возможности и мотивация.
    • Политики безопасности организации (OSP). OSP — это набор правил, процедур или руководств безопасности, установленных организацией в операционной среде ОО.
    • Предположения – сделаны только в отношении операционной среды поведения ОО.
  4. Цели безопасности – краткое и абстрактное изложение предполагаемого решения проблемы, указанной в определении проблемы безопасности. Каждая цель безопасности должна быть связана как минимум с одной угрозой или OSP.
    1. аспектом безопасности, которого необходимо достичь, является цель и задача использования определенных мер по снижению риска, таких как конфиденциальность, целостность, доступность, подлинность пользователя, авторизация доступа, подотчетность.
    2. конфиденциальность, целостность или доступность, необходимые для поддержки применимых основополагающих требований.- [1]
    • Цели безопасности для ОО
    • Цели безопасности для оперативной среды
    • Обоснование целей безопасности – набор обоснований, показывающий, что все угрозы и предположения эффективно устраняются целями безопасности.
  5. Определение расширенных компонентов . Расширенные компоненты должны состоять из измеримых и объективных элементов, соответствие которых может быть продемонстрировано.
  6. Требования безопасности – определяет и описывает SFR из CC Part 2 и SAR из CC Part 3.
    • Функциональные требования безопасности – ФТБ формируют ясное, недвусмысленное и четко определенное описание ожидаемого поведения безопасности ОО.
    • Требования обеспечения безопасности – SAR образуют четкое, недвусмысленное и установленное описание ожидаемых действий, которые будут предприняты для получения уверенности в ОО.
    • Обоснование требований безопасности – обоснование цели безопасности для ОО демонстрирует, что ФТБ являются достаточными и необходимыми.
  7. Краткие спецификации ОО – позволяют оценщикам и потенциальным потребителям получить общее представление о том, как реализуется ОО.
    • Функции безопасности – функция зоны или канала для предотвращения несанкционированного электронного вмешательства, которое может повлиять на нормальное функционирование устройств и систем внутри зоны или канала. Сводная спецификация ОО должна описывать, каким образом ОО соответствует каждому ФТБ.
    • Спецификации безопасности TOE – общее представление о том, как разработчик намеревается удовлетворить каждый SFR.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Портал общих критериев – http://www.commoncriteriaportal.org/cc/
Retrieved from "https://en.wikipedia.org/w/index.php?title=Security_Target&oldid=1211190970"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 22469e422d474a1c215f973d138a7bee__1709270280
URL1:https://arc.ask3.ru/arc/aa/22/ee/22469e422d474a1c215f973d138a7bee.html
Заголовок, (Title) документа по адресу, URL1:
Security Target - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)