В каком разделе профиля защиты содержится аннотация и идентификация

В каком разделе профиля защиты содержится аннотация и идентификация thumbnail

Аннотация: Цель лекции: дать определение профиля защиты, изучить его структуру и содержание, определить необходимость его использования и порядок сертификации.

8.1. Понятие профиля защиты

Требования к безопасности конкретных средств и информационных систем устанавливаются на основании угроз, которые уже есть или прогнозируются, в соответствии с политикой безопасности и условий применения этих средств(систем). Требования, которые являются общими для некоторого типа продуктов или информационных систем, можно объединить в структуру, называемую профилем защиты. Согласно ГОСТ Р ИСО/МЭК 15408-3-2002 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий” профиль защиты (ПЗ) – это независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя.

Продукт ИТ – совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ.

Изделие ИТ – обобщенный термин для продуктов и систем ИТ[23].

ПЗ не регламентирует, каким образом должны быть выполнены данные требования, тем самым предоставляя возможность разработчику системы защиты самостоятельно выбирать средства защиты. ПЗ может применяться либо к определенному классу продуктов, например, операционным системам или межсетевым экранам, и к совокупности продуктов, образующих систему информационной технологии (например, виртуальные частные сети, PKI). Использование профилей защиты преследует три основные задачи:

  1. стандартизация наборов требований к информационным продуктам;
  2. оценка безопасности;
  3. проведение сравнительного анализа уровней безопасности различных изделий ИТ.

ПЗ подлежат оценке, регистрации и сертификации в соответствии с руководящими документами ФСТЭК России.

Разработчиком ПЗ может быть как юридическое, так и физическое лицо.

ПЗ должен содержать:

  1. потребности пользователя изделия ИТ в обеспечении информационной безопасности;
  2. описание среды безопасности изделия ИТ – обоснованность применения данного ИТ с учетом угроз среды, политики безопасности и пр.
  3. цели безопасности изделия ИТ- то есть что должно быть сделано в результате использования данного ИТ;
  4. функциональные требования к безопасности и требования доверия к безопасности. Функциональные требования отображают то, что должно выполнять ИТ и его среда, а требования доверия к безопасности отображают степень уверенности в функционале данного ИТ. Совокупность этих требований должна обеспечить достижение целей безопасности;
  5. обоснование достаточности выдвинутых требований.

Требования безопасности зависят от класса защищенности изделия ИТ, который в свою очередь зависит от ценности информации, потенциальных угроз, развития соответствующих средств безопасности на настоящий момент и стоимости и времени на оценку безопасности данного изделия ИТ. Для определения требований безопасности в зависимости от класса защищенности изделия ИТ необходимо использовать Руководящий документ Гостехкомиссии России “Руководство по разработке семейств профилей защиты”.

8.2. Содержание профиля защиты

Структура ПЗ в общем виде приведена на рисунке 8.1.

В каком разделе профиля защиты содержится аннотация и идентификация

Рис.
8.1.

Идентификация ПЗ должна обеспечить маркировку и описательную информацию, необходимые для однозначной идентификации и регистрации ПЗ.

Аннотация должна давать общую характеристику ПЗ и иметь описательную форму. При этом она должна быть достаточно полной для определения потенциальным пользователем необходимости использования данного ПЗ.

В раздел “Описание изделия ИТ” включается сопроводительная информация об изделии ИТ, предназначенная для пояснения его назначения и требований безопасности.

В раздел ПЗ “Среда безопасности изделия ИТ” включается описание аспектов среды безопасности изделия ИТ: предположения безопасности, потенциальных угроз и политики безопасности организации. Предположения безопасности содержат описание среды, в котором изделие будет использоваться:

  • информация относительно предполагаемого использования ИТ – предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования;
  • информацию относительно среды применения, включая аспекты физического окружения, персонала и внешних связей.

Цели безопасности должны быть четко изложены, отражать намерение противостоять определенному набору угроз и соответствовать политике безопасности.

В раздел ПЗ “Требования безопасности изделия ИТ” включаются функциональные требования безопасности изделия ИТ, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды изделия ИТ.

В раздел ПЗ “Замечания по применению ПЗ” может включаться любая дополнительная информация, которую разработчик ПЗ считает полезной. Замечания по применению могут быть распределены по соответствующим разделам ПЗ [25].

В разделе ПЗ “Обоснование” демонстрируется, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности изделия ИТ, и что соответствующее изделие ИТ учитывает идентифицированные аспекты среды безопасности. Раздел “Обоснование” может быть оформлен в виде отдельного документа.

Сертификат ПЗ – документ, удостоверяющий соответствие ПЗ критериям, приведенным в разделе 4 части 3 Руководящего документа “Критерии оценки безопасности информационных технологий”. Цель оценки ПЗ – показать полноту, непротиворечивость и техническую верность конкретного ПЗ. Для повышения согласованности выводов, полученных при оценке, ее результаты могут быть представлены на сертификацию. Сертификация представляет собой независимую инспекцию результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публикуются и являются общедоступными.

Читайте также:  В каких продуктах содержатся большое количество витамина а

8.3. Регистрация профиля защиты

После составления профиля защиты и его оценки (сертификации) он должен быть зарегистрирован в соответствии с Руководящим документом Гостехкомиссии России “Безопасность информационных технологий. Руководство по регистрации профилей защиты”. Данный документ определяет процедуру регистрации не только ПЗ, но и пакетов. Пакет – многократно используемая совокупность функциональных компонентов или компонентов доверия, объединенных для достижения определенных целей безопасности [25]. В результате регистрации ПЗ (или пакет) получает регистрационную метку, которая уникально его идентифицирует в специальном реестре. Реестр – совокупность записей (в электронном или электронном и бумажном виде), включающих в себя регистрационные метки, а также связанную с ними дополнительную информацию[26]. Каждая запись в реестре состоит из трех частей, разделенных дефисом:

  • тип элемента реестра;
  • год регистрации;
  • регистрационный номер.

Тип элемента реестра может иметь три значения:

  • “ПЗ” – для профиля защиты;
  • “ПД” для пакета требований доверия;
  • “ФП” – для функционального пакета.

Год регистрации — год внесения элемента в реестр (четыре цифры).

Регистрационный номер — порядковый номер в текущем году (три цифры).

Пример: ПЗ-2010-005.

Для регистрации ПЗ заявителю необходимо отправить в регистрационный орган (ОР) заявку. Заявка обязательно должна содержать следующую информацию:

  • Название организации (если заявитель юридическое лицо) или ФИО (если заявитель физическое лицо) и контактную информацию. Контактная информация должна включать почтовый адрес и/или адрес E-mail, номер телефона и/или факса.
  • Тип объекта, который заявитель хочет зарегистрировать.
  • Определение представленного объекта как нового или заменяющего уже существующий элемент в реестре. Если объект заменяющий, необходимо указать регистрационные метки элементов, подлежащих удалению или замене.
  • Подтверждение от заявителей заменяемых элементов, что при принятии заменяющих элементов они согласны на удаление своих элементов.
  • Определение объекта как завершенного или в качестве проекта.
  • Описание нового ПЗ или пакета
  • Аннотацию ПЗ или пакета.
  • Декларацию, что описание ПЗ или пакета, представленного для регистрации, удовлетворяет требованиям руководящего документа по регистрации.

ОР в свою очередь либо отклоняет заявку(если в ней не полный перечень информации), либо присваивает регистрационную метку и вводит в реестр со статусом “проходящий подтверждение соответствия”. Затем о результате этой процедуры сообщается заявителю. Начальная обработка занимает не более 14 дней после получения заявки. После этого ОР выполняет проверку описания, представленного в заявке. Если выявляются какие-то недостатки или несоответствия, ОР уведомляет заявителя и тот в свою очередь должен внести коррективы в течение 14 дней. Процедура подтверждения соответствия должна быть завершена в течение 3 месяцев с момента получения заявки на регистрацию.

Источник

Аннотация: Цель лекции: дать определение профиля защиты, изучить его структуру и содержание, определить необходимость его использования и порядок сертификации.

8.1. Понятие профиля защиты

Требования к безопасности конкретных средств и информационных систем устанавливаются на основании угроз, которые уже есть или прогнозируются, в соответствии с политикой безопасности и условий применения этих средств(систем). Требования, которые являются общими для некоторого типа продуктов или информационных систем, можно объединить в структуру, называемую профилем защиты. Согласно ГОСТ Р ИСО/МЭК 15408-3-2002 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий” профиль защиты (ПЗ) – это независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя.

Продукт ИТ – совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ.

Изделие ИТ – обобщенный термин для продуктов и систем ИТ[23].

ПЗ не регламентирует, каким образом должны быть выполнены данные требования, тем самым предоставляя возможность разработчику системы защиты самостоятельно выбирать средства защиты. ПЗ может применяться либо к определенному классу продуктов, например, операционным системам или межсетевым экранам, и к совокупности продуктов, образующих систему информационной технологии (например, виртуальные частные сети, PKI). Использование профилей защиты преследует три основные задачи:

  1. стандартизация наборов требований к информационным продуктам;
  2. оценка безопасности;
  3. проведение сравнительного анализа уровней безопасности различных изделий ИТ.
Читайте также:  Какие аминокислоты содержатся в грибах

ПЗ подлежат оценке, регистрации и сертификации в соответствии с руководящими документами ФСТЭК России.

Разработчиком ПЗ может быть как юридическое, так и физическое лицо.

ПЗ должен содержать:

  1. потребности пользователя изделия ИТ в обеспечении информационной безопасности;
  2. описание среды безопасности изделия ИТ – обоснованность применения данного ИТ с учетом угроз среды, политики безопасности и пр.
  3. цели безопасности изделия ИТ- то есть что должно быть сделано в результате использования данного ИТ;
  4. функциональные требования к безопасности и требования доверия к безопасности. Функциональные требования отображают то, что должно выполнять ИТ и его среда, а требования доверия к безопасности отображают степень уверенности в функционале данного ИТ. Совокупность этих требований должна обеспечить достижение целей безопасности;
  5. обоснование достаточности выдвинутых требований.

Требования безопасности зависят от класса защищенности изделия ИТ, который в свою очередь зависит от ценности информации, потенциальных угроз, развития соответствующих средств безопасности на настоящий момент и стоимости и времени на оценку безопасности данного изделия ИТ. Для определения требований безопасности в зависимости от класса защищенности изделия ИТ необходимо использовать Руководящий документ Гостехкомиссии России “Руководство по разработке семейств профилей защиты”.

8.2. Содержание профиля защиты

Структура ПЗ в общем виде приведена на рисунке 8.1.

В каком разделе профиля защиты содержится аннотация и идентификация

Рис.
8.1.

Идентификация ПЗ должна обеспечить маркировку и описательную информацию, необходимые для однозначной идентификации и регистрации ПЗ.

Аннотация должна давать общую характеристику ПЗ и иметь описательную форму. При этом она должна быть достаточно полной для определения потенциальным пользователем необходимости использования данного ПЗ.

В раздел “Описание изделия ИТ” включается сопроводительная информация об изделии ИТ, предназначенная для пояснения его назначения и требований безопасности.

В раздел ПЗ “Среда безопасности изделия ИТ” включается описание аспектов среды безопасности изделия ИТ: предположения безопасности, потенциальных угроз и политики безопасности организации. Предположения безопасности содержат описание среды, в котором изделие будет использоваться:

  • информация относительно предполагаемого использования ИТ – предполагаемая область применения, потенциальная значимость активов и возможные ограничения использования;
  • информацию относительно среды применения, включая аспекты физического окружения, персонала и внешних связей.

Цели безопасности должны быть четко изложены, отражать намерение противостоять определенному набору угроз и соответствовать политике безопасности.

В раздел ПЗ “Требования безопасности изделия ИТ” включаются функциональные требования безопасности изделия ИТ, требования доверия к безопасности, а также требования безопасности программного, программно-аппаратного и аппаратного обеспечения ИТ-среды изделия ИТ.

В раздел ПЗ “Замечания по применению ПЗ” может включаться любая дополнительная информация, которую разработчик ПЗ считает полезной. Замечания по применению могут быть распределены по соответствующим разделам ПЗ [25].

В разделе ПЗ “Обоснование” демонстрируется, что ПЗ специфицирует полную и взаимосвязанную совокупность требований безопасности изделия ИТ, и что соответствующее изделие ИТ учитывает идентифицированные аспекты среды безопасности. Раздел “Обоснование” может быть оформлен в виде отдельного документа.

Сертификат ПЗ – документ, удостоверяющий соответствие ПЗ критериям, приведенным в разделе 4 части 3 Руководящего документа “Критерии оценки безопасности информационных технологий”. Цель оценки ПЗ – показать полноту, непротиворечивость и техническую верность конкретного ПЗ. Для повышения согласованности выводов, полученных при оценке, ее результаты могут быть представлены на сертификацию. Сертификация представляет собой независимую инспекцию результатов оценки, которая завершается их утверждением или выдачей сертификата. Сведения о сертификатах обычно публикуются и являются общедоступными.

8.3. Регистрация профиля защиты

После составления профиля защиты и его оценки (сертификации) он должен быть зарегистрирован в соответствии с Руководящим документом Гостехкомиссии России “Безопасность информационных технологий. Руководство по регистрации профилей защиты”. Данный документ определяет процедуру регистрации не только ПЗ, но и пакетов. Пакет – многократно используемая совокупность функциональных компонентов или компонентов доверия, объединенных для достижения определенных целей безопасности [25]. В результате регистрации ПЗ (или пакет) получает регистрационную метку, которая уникально его идентифицирует в специальном реестре. Реестр – совокупность записей (в электронном или электронном и бумажном виде), включающих в себя регистрационные метки, а также связанную с ними дополнительную информацию[26]. Каждая запись в реестре состоит из трех частей, разделенных дефисом:

  • тип элемента реестра;
  • год регистрации;
  • регистрационный номер.

Тип элемента реестра может иметь три значения:

  • “ПЗ” – для профиля защиты;
  • “ПД” для пакета требований доверия;
  • “ФП” – для функционального пакета.
Читайте также:  В каких продуктах содержится большое количество жира

Год регистрации — год внесения элемента в реестр (четыре цифры).

Регистрационный номер — порядковый номер в текущем году (три цифры).

Пример: ПЗ-2010-005.

Для регистрации ПЗ заявителю необходимо отправить в регистрационный орган (ОР) заявку. Заявка обязательно должна содержать следующую информацию:

  • Название организации (если заявитель юридическое лицо) или ФИО (если заявитель физическое лицо) и контактную информацию. Контактная информация должна включать почтовый адрес и/или адрес E-mail, номер телефона и/или факса.
  • Тип объекта, который заявитель хочет зарегистрировать.
  • Определение представленного объекта как нового или заменяющего уже существующий элемент в реестре. Если объект заменяющий, необходимо указать регистрационные метки элементов, подлежащих удалению или замене.
  • Подтверждение от заявителей заменяемых элементов, что при принятии заменяющих элементов они согласны на удаление своих элементов.
  • Определение объекта как завершенного или в качестве проекта.
  • Описание нового ПЗ или пакета
  • Аннотацию ПЗ или пакета.
  • Декларацию, что описание ПЗ или пакета, представленного для регистрации, удовлетворяет требованиям руководящего документа по регистрации.

ОР в свою очередь либо отклоняет заявку(если в ней не полный перечень информации), либо присваивает регистрационную метку и вводит в реестр со статусом “проходящий подтверждение соответствия”. Затем о результате этой процедуры сообщается заявителю. Начальная обработка занимает не более 14 дней после получения заявки. После этого ОР выполняет проверку описания, представленного в заявке. Если выявляются какие-то недостатки или несоответствия, ОР уведомляет заявителя и тот в свою очередь должен внести коррективы в течение 14 дней. Процедура подтверждения соответствия должна быть завершена в течение 3 месяцев с момента получения заявки на регистрацию.

Источник

Информация о материале

Создано: 30 Июля 2018 14:43

Обновлено: 05 Марта 2020 12:01

Просмотров: 6825

Устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий для 4, 5 и 6 уровней доверия

Информация о материале

Создано: 11 Мая 2017 14:43

Обновлено: 13 Ноября 2017 15:11

Просмотров: 11051

Профили защиты операционных систем типов “Б” и “В”

Информация о материале

Создано: 08 Февраля 2017 14:43

Обновлено: 13 Ноября 2017 15:05

Просмотров: 15551

Профили защиты операционных систем типа “А”

Информация о материале

Создано: 12 Сентября 2016 10:32

Обновлено: 15 Сентября 2016 10:38

Просмотров: 27163

Профили защиты межсетевых экранов

Информация о материале

Создано: 30 Декабря 2014 10:32

Обновлено: 13 Января 2015 10:24

Просмотров: 13341

Профили защиты средств контроля съемных машинных носителей информации

Информация о материале

Создано: 30 Декабря 2013 16:27

Обновлено: 12 Января 2015 07:38

Просмотров: 21467

Профили защиты средств доверенной загрузки

Информация о материале

Создано: 14 Июня 2012 14:00

Обновлено: 12 Января 2015 07:43

Просмотров: 35602

Профили защиты средств антивирусной защиты

Информация о материале

Создано: 06 Марта 2012 14:00

Обновлено: 12 Января 2015 07:45

Просмотров: 20637

Профили защиты систем обнаружения вторжений

Информация о материале

Создано: 03 Февраля 2012 14:00

Обновлено: 12 Января 2015 07:48

Просмотров: 22045

Профили защиты систем обнаружения вторжений

Информация о материале

Создано: 09 Января 2003 13:00

Обновлено: 01 Декабря 2014 16:08

Просмотров: 45416

Руководство по разработке профилей защиты и заданий по безопасности

Информация о материале

Создано: 09 Января 2003 13:00

Обновлено: 01 Декабря 2014 16:08

Просмотров: 20401

Безопасность информационных технологий. Руководство по формированию семейств профилей защиты

Информация о материале

Создано: 09 Января 2003 13:00

Обновлено: 01 Декабря 2014 16:07

Просмотров: 19028

Безопасность информационных технологий. Руководство по регистрации профилей защиты

Информация о материале

Создано: 09 Января 2003 13:00

Обновлено: 01 Декабря 2014 16:07

Просмотров: 23822

Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности

Информация о материале

Создано: 25 Июля 1997 14:00

Обновлено: 01 Декабря 2014 16:06

Просмотров: 19839

Защита информации. Специальные защитные знаки. Классификация и общие требования

Информация о материале

Создано: 30 Марта 1992 14:00

Обновлено: 01 Декабря 2014 16:07

Просмотров: 44803

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

Источник