ИТСЕК

Критерии оценки безопасности информационных технологий ( ITSEC ) — это структурированный набор критериев для оценки компьютерной безопасности продуктов и систем. ITSEC был впервые опубликован в мае 1990 года во Франции , Германии , Нидерландах и Великобритании на основе существующей работы в их странах. После обширной международной проверки версия 1.2 была впоследствии опубликована в июне 1991 года Комиссией Европейских сообществ для оперативного использования в рамках схем оценки и сертификации.

С момента запуска ITSEC в 1990 году ряд других европейских стран согласились признать достоверность оценок ITSEC.

ITSEC был в значительной степени заменен «Общими критериями» , которые обеспечивают аналогичные определенные уровни оценки и реализуют концепцию целевой оценки и документ «Цель безопасности».

Концепции

Оцениваемый продукт или система, называемая объектом оценки , подвергается детальному изучению его функций безопасности, кульминацией которого является всестороннее и обоснованное функциональное тестирование и тестирование на проникновение. Степень проверки зависит от желаемого уровня уверенности в цели. Чтобы обеспечить различные уровни доверия, ITSEC определяет уровни оценки , обозначаемые от E0 до E6. Более высокие уровни оценки предполагают более тщательное изучение и тестирование объекта.

В отличие от более ранних критериев, в частности TCSEC, разработанного оборонным ведомством США , ITSEC не требовал, чтобы оцениваемые цели содержали определенные технические характеристики для достижения определенного уровня надежности. Например, цель ITSEC может предоставлять функции аутентификации или целостности без обеспечения конфиденциальности или доступности. Функции безопасности данной цели документировались в документе «Цель безопасности» , содержание которого должно было быть оценено и одобрено до того, как была оценена сама цель. Каждая оценка ITSEC основывалась исключительно на проверке функций безопасности, указанных в задаче безопасности.

Использовать

Формальная нотация Z использовалась для подтверждения свойств безопасности электронной кассовой системы со смарт-картами Mondex , что позволило ей достичь уровня ITSEC E6, самого высокого присвоенного уровня безопасности. ^[1]^[2]

Ссылки

^ Сьюзан Степни, Дэвид Купер и Джим Вудкок , Электронный кошелек: спецификация, уточнение и доказательство . Техническая монография PRG-126 , Группа исследований по программированию , Оксфордский университет , Великобритания, 2000.
^ Джим Вудкок , Сьюзен Степни, Дэвид Купер, Джон Кларк и Джереми Джейкоб, Сертификация электронного кошелька Mondex на уровень ITSEC E6 , Формальные аспекты вычислений , Том 20, номер 1, страницы 5–19, январь 2008 г.

Библиография

ITSEC (июнь 1991 г.). «Критерии оценки безопасности информационных технологий (ITSEC): предварительные гармонизированные критерии» (PDF) . Документ COM(90) 314, версия 1.2. Комиссия Европейских Сообществ. Архивировано из оригинала (PDF) 23 мая 2006 г. Проверено 2 июня 2006 г.

[1] Сьюзан Степни, Дэвид Купер и Джим Вудкок , Электронный кошелек: спецификация, уточнение и доказательство . Техническая монография PRG-126 , Группа исследований по программированию , Оксфордский университет , Великобритания, 2000.

[2] Джим Вудкок , Сьюзен Степни, Дэвид Купер, Джон Кларк и Джереми Джейкоб, Сертификация электронного кошелька Mondex на уровень ITSEC E6 , Формальные аспекты вычислений , Том 20, номер 1, страницы 5–19, январь 2008 г.

[1]

[2]