Varnostni razredi računalniških sistemov. Mednarodni standard iso/iec 15408

Sodobni računalniški sistemi so opremljeni z nekaterimi načini za zaščito informacij pred zunanjimi osebami in vsiljivci. Brez njega si ni mogoče predstavljati nobenega programa ali kompleksa informacijska tehnologija. Varnostni razredi so za računalniške sisteme nujni, saj je v omrežju vedno več osebnih podatkov in intelektualne lastnine uporabnikov, stopnja zaščite pa neposredno vpliva na življenje ljudi. V zvezi s tem je treba preučiti vrste informacijske varnosti, ki obstajajo.

Splošne informacije

Standardizacija in sistematizacija zahtev in značilnosti varovanih informacijskih sistemov je privedla do sistema nacionalnih in mednarodnih standardov na področju varnosti in informacijska varnost, ki vsebuje več kot sto dokumentov. ISO IEC 15408, znan tudi kot Common Criteria, je eden od glavnih standardov v tem sistemu.

Zgodovina

Razvoj mednarodnega standarda za oceno varnosti in varnostne razrede se je začel leta 1990 Mednarodna organizacija za standardizacijo. Pri razvoju so sodelovale ZDA, Kanada, Nemčija, Anglija in Francija. Razvoj je vodil desetletje vodilnih strokovnjakov na svetu in je bila večkrat revidirana. Odobritev različice 2.1 se je zgodil 8. junija 1999. Skupno ime Skupna merila ali "Splošna merila za ocenjevanje varnosti informacijskih sistemov".

Ustvarjeno "Skupna merila" Skupno znanje in izkušnje pri uporabi "Oranžna knjiga", spodbujal evropska in kanadska merila za varnost sistemov ter oblikoval realistično strukturo profilov zaščite ameriških zveznih meril.

Vsebina

Splošne določbe razvrščajo širok nabor zahtev za orodja za računalniško varnost, opredeljujejo strukturo razvrščanja v skupine in način njihove uporabe. Glavna prednost tega sistema je bila izčrpna navedba varnostnih zahtev in njihova racionalizacija, prilagodljivost pri uporabi in možnosti nadaljnjega razvoja. Največji svetovni ponudniki tehnologije v tistem času so takoj izdelali in dobavili izdelke, ki so izpolnjevali zahteve splošnih meril.

Razviti so bili za naslednje skupine strokovnjakov: proizvajalce, potrošnike izdelkov IT in strokovnjake za ocenjevanje ravni varnosti tehnologij. Uvedeni standard je predstavljal osnovo za izbiro informacijskih izdelkov, ki so morali izpolnjevati zahteve za delovanje v okolju varnostnih groženj, in je služil kot osnova za razvijalce varnostnih rešitev teh izdelkov. Urejena je bila tudi tehnologija za izgradnjo takšnih sistemov in ocenjevanje dosežene stopnje varnosti.

Z uvedbo meril, informacijska varnost se razume kot celota celovitosti in zaupnosti podatkov, ki jih obdeluje informacijski izdelek, in je namenjen zaščiti izdelka in preprečevanju groženj, ki so lahko pomembne pri delovanju določenega izdelka. Iz tega sledi, da kombinirana merila vključujejo vsi deli načrtovanje, ustvarjanje in uporaba informacijskih izdelkov, ki delujejo pod določenimi varnostnimi grožnjami.

Struktura

Tako imenovani standard ISO 15408 vsebuje tri dele:

• Uvod in splošni uvod.
• Zahteve za funkcionalno varnost.
• Zahteve za zagotavljanje varnosti.

Iz tega seznama je razvidno, da, da je splošna Merila vključujejo dve vrsti zahtev glede informacijske varnosti: funkcionalne zahteve in zahteve glede zagotovil. Prvi se nanašajo na varnostne storitve, ki vključujejo avtentikacijo, identifikacijo, nadzor dostopa, revizijo itd. Zagotavljanje vključuje tehnologijo za razvoj, testiranje, analizo ranljivosti, delovanje, vzdrževanje in drugo.

Vsi varnostni razredi in zahteve imajo skupen slog in so razvrščeni v hierarhijo. Med njimi lahko obstajajo odvisnosti, če zmogljivost komponente ne zadostuje za izpolnitev varnostnega cilja in je potrebna druga komponenta.

Modeli groženj

Za učinkovito uporabo in razvoj varnostnega profila je treba med postopkom oblikovanja varnostnega profila analizirati vse grožnje, ki bi lahko bile izvedljive v zvezi s tehnologijo v tej skupini. Pri tem se pripravijo modeli groženj, ki vključujejo naslednje:

• Življenjski cikel grožnje;
• Smer grožnje;
• vir;
• Ogroženi sistemi;
• premoženje, ki ga je treba zaščititi;
• metode in algoritmi za izvajanje grožnje;
• Možne težave;
• tveganja in drugi vidiki.

Oblikovanje modela groženj

Ni dovolj zgolj predvidevati, kakšne nevarnosti lahko pretijo sistemu, ki ga gradimo. Poleg tega jih je zdaj veliko in zagotavljanje zaščite pred vsemi bo zamudno in drago. Zato se oblikuje splošen seznam možnih nevarnosti, pomembnih za sisteme na določenem področju, na podlagi katerega se pozneje določijo merila za določanje varnosti računalniških sistemov te vrste.

Postopek oblikovanja modela groženj je podoben postopku analize tveganja. Tako se v postopku opisovanja groženj zaradi namerne človeške dejavnosti ocenjuje oblika vira glede na to, kako se grožnja in verjetnost njenega nastanka.

varnostni razredi

Standard opredeljuje varnostno funkcijo kot del sistema, ki izvaja podmnožico pravil varnostne politike. Varnostni funkciji je dodana odpornost, značilnost, ki sporoča najmanjši potrebni vpliv na njeno varnost, v katerem kršitve varnostne politike funkcije. Njene vrednosti so naslednje:

• Osnovni. Funkcija zagotavlja varnost pred naključnimi kršitvami, če ima napadalec majhen potencial napada.
• Srednja. Zagotavlja zaščito pred ciljno usmerjenimi kršitvami varnosti s strani storilcev z zmerno možnostjo napada.
• Visoka. Zagotavlja zaščito pred načrtovanimi in organiziranimi vdori visoko usposobljenih napadalcev.

Obstaja tudi posebna shema za določanje možnosti napada, ki upošteva nekatere dejavnike:

1. Ko je ugotovljena ranljivost:
   Čas, potreben za opredelitev težave. Zahtevana raven usposabljanja. poznavanje projekta in njegovega delovanja. Programska oprema in druga oprema.
2. Pri uporabi:
   Čas, potreben za odpravo težave. Raven usposabljanja. Poznavanje delovanja projekta. Potrebni programski izdelki.

Zaščita računalniških sistemov je glavna naloga vsakega programskega izdelka, ki je odgovoren za računalniško varnost. Kakovost funkcije in informacije o grožnjah, ki jih sistem lahko prenese, imajo svojo klasifikacijo, ki je predhodno odobrena v fazi razvoja. zaradi česar je računalniška varnost zelo kakovostna.