АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Розділ ВГБ: аналіз продукту на наявність уразливостей

Читайте также:
  1. Case 2. Маркетингове середовище міжнародних ринків та його аналіз
  2. I розділ
  3. VII. Тематика курсових робіт з аналізу фінансів підприємств
  4. АВС-аналіз товарів за ___ рік за рівнем отриманого доходу (чистої виручки від реалізації)
  5. Актуальність розділу.
  6. Аналіз асиметрій розвитку галузі побутової хімії у старих (ЄС-15) та нових (ЄС-12) країнах-членах
  7. Аналіз асортименту і структури продукції
  8. Аналіз виробничих ресурсів і організаційно-технічного рівня підприємства
  9. Аналіз владних відносин у постіндустріальних суспільствах
  10. Аналіз галузі та конкурентного середовища підприємства в галузі
  11. Аналіз даних
  12. Аналіз дебіторської і кредиторської заборгованості підприємства

[VuLnerability Analysis (AVA_VLA)] включає наступні вимоги га­рантій безпеки:

• виявлення уразливостей розробником продукту [developer
vulnerability analysis (AVAJVLA.l)];

• незалежний аналіз уразливостей [independent vulnerability
analysis (AVA_VLA.2)];

• систематичний незалежний аналіз уразливостей на основі
заданих методик [(AVA_VLA.3)];

• вичерпний аналіз уразливостей [moderately resistant (AVA_
VLA.4)].

8.4.3. Рівні гарантій безпеки

Визначення рівнів гарантій

Рівні гарантій [Evaluation Assurance Level (EAL)] — в «За­гальних критеріях» — це сім стандартизованих наборів вимог га­рантій безпеки, що регламентують застосування різноманітних методів і технологій розробки, тестування, контролю та верифі­кації ІТ-продукту:

• функціональне тестування;

• структурне тестування;

• методичне тестування та перевірка;

• методична розробка, тестування та аналіз;

• напівформальні методи розробки та тестування;

• напівформальні методи верифікації розробки та тестування;

• формальні методи верифікації розробки та тестування.
Колений з рівнів визначає ступінь відповідності ІТ-продукту

коленій вимозі гарантій (гарантії зростають від першого рівня до сьомого. Назви рівнів відображають можливості засобів контро­лю і верифікації, що застосовуються в ході розробки та аналізу ІТ-продукту (рис. 8.8).



 


Розділ 8. Критерії безпеки інформаційних технологій


4j


Функціональне тестування

Рівень функціонального тестування [EAL1 — functionally tested] — перший рівень гарантій для випадків, коли загрозам безпеці не надається великого значення. Пропонується вико­ристати його в тих ситуаціях, коли все, що необхідно — це не­залежна гарантія того, що до складу ІТ-продукту входять засоби захисту персональної або подібної інформації.

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: керування проектом у розділі ВГБ: керування версіями — нумерація версій.

У класі ВГБ: дистрибуція в розділі ВГБ: установка, настрой­ка, запуск — регламентовані процедури установки, настройки, за­пуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­
мальні специфікації для засобів захисту;

• у розділі ВГБ: відповідність описів різного рівня — нефор­
мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­
собів захисту.

У класі ВГБ: тестування в розділі ВГБ: незалежне тестуван­ня — готовність продукту до незалежного тестування.

Аналіз ІТ-продукту на відповідність даному рівню гарантій забезпечується дослідженням функцій захисту та перевіркою функціональних специфікацій, інтерфейсів та документації.

Результати аналізу підтверджуються незалежним тестуван­ням засобів захисту ІТ-продукту на відповідність специфікаціям і документації.

Сертифікація ІТ-продукту на даний рівень гарантій є під­твердженням відповідності властивостей ІТ-продукту його до­кументації та специфікаціям, а також наявності працездатності захисту проти загроз безпеці.


Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОПОГІЙ

Структурне тестування

Рівень структурного тестування [EAL2 — structurally tested] — другий рівень гарантій, призначений для використання при обставинах, коли розробники або користувачі згодні задо­вольнитися низьким або помірним ступенем незалежного під­твердження гарантій рівня безпеки, який необхідно забезпечити. Особливо рекомендують застосування даного рівня для успад­кованих систем, які вже знаходяться в експлуатації.

Другий рівень гарантій відповідає наступним вимогам гаран­тій безпеки.

У класі ВГБ: управління проектом у розділі ВГБ: керування версіями — ідентифікація компонентів.

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — регламентована процедура постав­
ки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані
процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­
мальні специфікації засобів захисту;

• у розділі ВГБ: архітектура захисту — опис архітектури захис­
ту;

• у розділі ВГБ: відповідність описів різного рівня — нефор­
мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­
собів захисту.

У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — обґрунтування повноти
тестування;

• у розділі ВГБ: методика тестування — функціональне тесту­
вання й протоколювання результатів тестів;


Розділ 8. Критерії безпеки інформаційних технологій

• у розділі ВГБ: незалежне тестування — вибіркове незалежне
тестування.

У класу ВГБ: оцінка захисту:

• у розділі ВГБ: аналіз стійкості засобів захисту — оцінка стій­
кості засобів захисту;

• у розділі ВГБ: аналіз продукту на наявність уразливостей —
виявлення уразливостей розробником продукту.
Розробка продукту відповідно до вимог даного рівня не

вимагає від виробника ніяких додаткових витрат, порівняно з розробкою звичайних комерційних або промислових продуктів, окрім надання результатів тестування.

Для другого рівня аналіз повинен проводитися не тільки по відношенню функціональних специфікацій, інтерфейсів та доку­ментації, але й для архітектури захисту ІТ-продукту.

Крім незалежного тестування засобів захисту ІТ-продукту результати аналізу підтверджуються протоколами тестування функціональних специфікацій, наданих розробником, а також незалежним вибірковим контролем результатів цих випробу­вань та глибини проведеного тестування, і незалежним підтвер­дженням пошуку розробником явних уразливостей. Крім того, для цього рівня необхідна наявність документованого складу конфігурації продукту та доказ безпеки процедури поставки.

Даний рівень розширює вимоги попереднього за рахунок включення в матеріали, що підтверджують аналіз результатів тестів, проведених розробником ІТ-продукту, необхідністю здій­снення аналізу уразливостей та незалежного тестування з вико­ристанням більш детальних специфікацій.

Методичне тестування та перевірка

Рівень методичного тестування та перевірки [EAL3 — methodically tested and checked] — третій рівень гарантій, при­значений для використання при обставинах, коли розробникам або користувачам потрібна помірна ступінь незалежного під­твердження властивостей ІТ-продукту, а також повне і послі-


ЧастинаіІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

довне дослідження властивостей продукту і контроль в процесі створення, але без проведення дорогого зворотного проектуван­ня [reengineering].

Відповідає наступним вимогам гарантій безпеки.

У класі ВГБ: управління проектом:

• у розділі ВГБ: управління версіями — контроль цілісності
версій;

• у розділі ВГБ: конфігурація проекту — основні компоненти
проекту (алгоритми, вихідні тексти, тексти, документація).

У класі ВГБ: дистрибуція:

• у розділі ВГБ: поставка — регламентована процедура по­
ставки;

• у розділі ВГБ: установка, настройка, запуск — регламентовані
процедури установки, настройки, запуску.

У класі ВГБ: розробка:

• у розділі ВГБ: загальні функціональні специфікації — нефор­
мальні специфікації засобів захисту;

• у розділі ВГБ: архітектура захисту — відповідність архітекту­
ри захисту політиці безпеки;

• у розділі ВГБ: відповідність описів різного рівня — нефор­
мальне підтвердження відповідності.

У класі ВГБ: документація:

• у розділі ВГБ: керівництво адміністратора — адмініструван­
ня засобів захисту;

• у розділі ВГБ: керівництво користувача — використання за­
собів захисту.

У класі ВГБ: процес розробки в розділі ВГБ: безпека середови­ща розробки — застосування заходів безпеки в ході розробки. У класі ВГБ: тестування:

• у розділі ВГБ: повнота тестування — аналіз повноти тесту­
вання;

• у розділі ВГБ: глибина тестування — архітектура;

• у розділі ВГБ: методика тестування — функціональне тесту­
вання й протоколювання результатів тестів;

• у розділі ВГБ: незалежне тестування — вибіркове незалежне
тестування.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 | 79 | 80 | 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 | 91 | 92 | 93 | 94 | 95 | 96 | 97 | 98 | 99 | 100 | 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)