ISMS

© Христо Тужаров,  

април 2009

 

СТАНДАРТ ISO/IEC 15408

Критерии за оценка сигурността на информационните технологии

Common Criteria for Information Technology Security Evaluation

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

СТАНДАРТИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

ОРАНЖЕВА КНИГА

ПРЕПОРЪКИ X 800

СТАНДАРТ ISO/IEC 15408

 

СЕРИЯ СТАНДАРТИ ISO 2700х

 

СТАНДАРТ ISO/IEC 27001

СТАНДАРТ IS0/IЕС 1779 

Същност на стандарта ISO/IEC 15408

 

Същност на стандарта ISO/IEC 15408

 

 

Стандартът  ISO/IEC 15408 е повече известен под името «Общи критерии» (Common Criteria, CC).

 

Той не предоставя списък от изисквания по сигурност, на които трябва да отговаря една информационна система или информационен продукт, а описва инфраструктура, където:

  • Потребителите на една информационна система, да опишат своите изисквания;

  • Разработчиците на информационни продукти да  опишат характеристиките за сигурност на своя продукт;

  • Експертите по сигурност да определят удовлетворява ли продуктът или системата обявените характеристики.

Изисквания за сигурност, съгласно стандарта ISO/IEC 15408

 

        Функционални изисквания

Предявявани към функциите за сигурност и реализиращите ги  механизми. Определят активната страна на защитата.

 

        Изисквания за доверие

Предявяване към технологиите и процесите по разработка и експлоатация. Определят пасивната страна на защитата.

 

         Обект на оценка

Апаратно – програмен продукт или информационна система, към които се определят и проверяват изискванията за сигурност.

 

Сигурността се определя динамично, в съответствие с жизнения цикъл на обекта. Определени са следните етапи:

 

 

Обект на оценка

 

  • Определяне на предназначението, условията на използване и изискванията за сигурност;

  • Проектиране и разработка;

  • Изпитания, оценка и сертификация;

  • Внедряване и експлоатация.

Структура на технологичната архитектура, съгласно стандарта ISO/IEC 15408

Обектът на оценка се разглежда в контекста на среда за сигурност, която се характеризира с определени условия и заплахи.

 

  Параметри на заплахите за сигурността

  • Източник на заплаха;

  • Метод на въздействие;

  • Уязвими места, които могат да бъдат използвани;

  • Ресурси (активи), които могат да пострадат.

За да се структурира пространството от изисквания, в стандарта ISO/IEC 15408 се използва йерархията: клас – семейство – компонент – елемент.

 

Структура на технологичната архитектура, съгласно стандарта ISO/IEC 15408

 

 

Класове – определят най-общата "предметна" група изисквания.

 

Семейства  - в рамките на класа конкретизират изискванията.

 

Компонент – минимален набор от изисквания, които могат да се представят като единно цяло.

 

Елемент – неделимо изискване.

 

Нормативни документи , съгласно стандарта ISO/IEC 15408

Стандартът ISO/IEC 15408 определя три типа конструкции на изискванията : пакет, профил на защитата и задание за сигурност.

 

Нормативни документи , съгласно стандарта ISO/IEC 15408

 

        Пакет - предназначен е за описване на множество функционални изисквания за сигурност, които съответстват на определено подмножество от цели по сигурността.

 

Предназначен е за многократно използване и определя изисквания за сигурност, които се считат полезни и ефективни при удовлетворяване на определени цели на сигурността.

 

        Профил на защита – типов набор от изисквания, които трябва да удовлетвори продуктът или системата от определен клас (например, операционни системи за правителствени организации).

 

         Базов  профил на защитата – включва изисквания към основните (задължителни във всички случаи) възможности.

 

         Производни профили – получават се от базовите, чрез добавяне на необходимите за конкретния пакет разширения.

 

        Задание за сигурност -  съвкупност от изисквания към конкретна разработка, изпълнението на които осигурява достигане на поставените цели по сигурността на информацията.

.

Функционални изисквания, съгласно стандарта ISO/IEC 15408

Функционалните изисквания са групирани на база изпълняваните роли или обслужваната цел на сигурността.

 

Те са разделени на 11 функционални класа, (в три групи), 66 семейства и 135 компонента.

 

 

Функционални изисквания, съгласно стандарта ISO/IEC 15408

 

 

  1. Първата група определя елементарните сервизи на сигурността:

    1. FAU — аудит, сигурност (изисквания към сервиза, протоколиране и аудит);

    2. FIA — идентификация и автентификация;

    3. FRU — използване на ресурси (за осигуряване на отказоустойчивост).

  2. Втората  група описва производните сервизи, реализирани на база елементарните:

    1. FCO — връзки  (сигурност на комуникациите предавател - приемник);

    2. FPR — защита на личността;

    3. FDP — защита на данните на потребителя;

    4. FPT — защита на функциите за сигурност на обекта на оценка;

  3. Третата група включва изисквания за инфраструктурата на обекта на оценека:

    1. FCS — криптографска поддръжка (обслужива управлението на  криптоключовете и крипто-операциите);

    2. FMT — управление на сигурността;

    3. FTA — достъп до обекта на оценка (управление на сеансите);

    4. FTP — доверен маршрут/канал;

        Изисквания за доверие

Изисквания към технологиите и процесите по разработка и експлоатация на обекта за оценка.

 

Разделени са на 10 класа, 44 семейства, 93 компонента, които обхващат различни етапи от жизнение цикъл.

  1. Първата група съдържа класове от изисквания, съответстващи на етапа, преди разработката и оценката на обекта:

    1. APE — оценка на профила на защита;

    2. ASE — оценка на заданието за сигурност.

  2. Втората  група обхваща етапите на жизнения цикъл на атестирания обект:

    1. ADV — разработка и проектиране на обекта;

    2. ALC — поддръжка на жизнения цикъл;

    3. ACM — управление на конфигурациите;

    4. AGD — ръководство за администратора и потребителя;

    5. ATE — тестване;

    6. AVA — оценка на уязвимостите;

    7. ADO — изисквания към доставките и експлоатацията;

    8. АMA — поддръжка на доверие – изискванията се прилагат след сертификация на обекта на съответствие по общите критерии.