Common Criteria

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
CIAJMK1209.png
Інформаційна безпека
Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2005 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

Крите́рії оці́нки інформаці́йної безпе́ки (англ. Common Criteria) є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступені захищеності.

З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.

Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA en:CIA_Triad.

Ця система передбачає такі основні характеристики інформаційної безпеки:

  • Конфіденційність,
  • цілісність,
  • доступність (англ. Confidentiality, Integrity and Availability (CIA)).

Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, програмному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використовування захисної продукції для гарантування інформаційної безпеки в межах організацій.

Нормативний документ ТЗІ 2.5-004-99[ред.ред. код]

В Україні також розробляються і використовуються критерії інформаційної безпеки. Наприклад департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України прийняв нормативний документ технічного захисту інформації 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» який подібний до моделі тріади CIA.

Функціональні критерії[ред.ред. код]

Складові інформаційної безпеки або властивості: конфіденційність (англ. Confidentiality, privacy), цілісність (англ. Integrity), доступність (англ. Availability) — тріада CIA.

Функціональні критерії розбиті на чотири групи вимог захисту проти певних типів загроз:

Конфіденційність[ред.ред. код]

Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головних послуг.

Цілісність[ред.ред. код]

Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності.

Доступність[ред.ред. код]

Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності.

Критерій гарантій[ред.ред. код]

Окрім функціональних критеріїв захищеності існують таки критерії гарантій, що дозволяють оцінити коректність реалізації систем захисту. Ці критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.

Міжнародний стандарт ISO/IEC 15408[ред.ред. код]

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.

Нормативна документація[ред.ред. код]

  • Міжнародний стандарт ISO/IEC 15408. В Росії цей стандарт введено як «ГОСТ ИСО/МЭК 15408-2002». В Україні стандарт цей документ введено до Плану національної стандартизації на 2007 рік.
  • НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».

Див. також[ред.ред. код]

Посилання[ред.ред. код]