ПАСОИБ-2 Моисеев Андрей Владимирович amoiseev@kaf 42. ru Москва, 2013 г.
Зачет по курсу Л/Р ● конспект лекций (Шеин А. В. ); ● конспект л/р (Мамаев А. В. /Моисеев А. В); ● Защита БДЗ: ● практическая часть(задание); ● теоретическая часть(3 -5 вопросов). 2
ОК: основные положения(1 из 2) ● ОК направлены на защиту информации: ● от несанкционированного раскрытия (потеря конфиденциальности); ● от неразрешенной модификации(потеря целостности); ● от потери возможности использования (потеря доступности); ● ОК сосредоточены на угрозах информации, возникающих в результате действий человека (как злоумышленных, так и иных); ● ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. 3
ОК: основные положения (2 из 2) Вопросы, лежащие вне области действия ОК: ● административные меры безопасности; ● специальные физические аспекты безопасности; ● методология оценки, административно-правовая структура, в рамках которой критерии могут применяться органами оценки; ● процедуры использования результатов оценки при аттестации продуктов и систем; ● критерии оценки специфических качеств криптографических алгоритмов. 4
Структура ОК ● ГОСТ Р ИСО/МЭК 15408 -1 -2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель ● ГОСТ Р ИСО/МЭК 15408 -2 -2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности ● ГОСТ Р ИСО/МЭК 15408 -3 -2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности 5
ОК: Основные определения ● ● ● ● Активы (assets); Доверие (assurance); ИТ (IT) – информационная технология; ОК(CC) – Общие Критерии; ОО (TOE) – объект оценки; ПБО (TSP) – политика безопасности ОО; ФБ (SF) – функция безопасности; ФБО (TSF) - функции безопасности ОО; ИФБО (TSFI) – интерфейс ФБО; ОДФ (TSC) – Область действия ФБО; СФБ (SOF) – Стойкость функции безопасности; ПФБ (SFP) – Политика функции безопасности; ЗБ (ST) – Задание по безопасности; ПЗ (PP) – Профиль защиты; ОУД (EAL) – Оценочный уровень доверия. 6
Организация и структура требований Класс В Семейство K Компонент Пакеты Компонент Класс А Семейство I …. . Семейство J Компонент Профиль защиты Компонент …. . Компонент Дополнительные требования безопасности, не входящие в ОК Возможные источники требований безопасности для ПЗ Возможные источники требований безопасности для ЗБ 7 Задание по безопасности
Конструкции требований ● Пакет; ● Профиль защиты (ПЗ); ● Задание по безопасности (ЗБ); ● ● Разрешенные операции на компонентах: итерация (iteration); назначение (assignment); выбор (selection); уточнение (refinement). 8
Классы функциональных требований безопасности ● ● ● FAU. Аудит безопасности FCO. Связь FCS. Криптографическая поддержка FDP. Защита данных пользователя FMT. Управление безопасностью FIA. Идентификация и аутентификация FPR. Приватность FPT. Защита ФБО FRU. Использование ресурсов FTP. Доверенный маршрут/канал FTA. Доступ к ОО 9
Классы требований доверия к безопасности ● ● ● ● ● APE. Оценка профиля защиты ASE. Оценка задания по безопасности ACM. Управление конфигурацией ADO. Поставка и эксплуатация ADV. Разработка AGD. Руководства ALC. Поддержка жизненного цикла ATE. Тестирование AVA. Оценка уязвимостей AMA. Поддержка доверия 10
Полезные источники ● http: //www. commoncriteriaportal. org ● http: //www. fstec. ru/ ● http: //www. java. com/ru/ ● http: //www. dll-files. com/ ● http: //kaf 42. ru 11
Домашнее задание 12
ПРОФИЛЬ ЗАЩИТЫ Введение ПЗ Спецификация ПЗ Идентификация ПЗ Аннотация ПЗ Описание ОО Среда безопасности ОО Предположения безопасности Угрозы Политика безопасности организации Цели безопасности для ОО Цели безопасности для среды Требования безопасности ИТ Замечания по применению Функциональные требования Безопасности ОО Требования безопасности для среды ИТ Требования доверия к Безопасности ОО 13 Обоснование Логическое обоснование целей безопасности Логическое обоснование требований безопасности
Скачать презентацию ПАСОИБ-2 Моисеев Андрей Владимирович amoiseev kaf 42 ru Москва
Лаба 1.ppt