загрузка...
загрузка...
На головну

Аналіз стандартів інформаційної безпеки

  1. CR-аналіз журналу «Дипломат», №3-2005
  2. GAP-аналіз.
  3. I. Аналіз чутливості ПРОЕКТУ
  4. III. «Наприклад» в аналізі
  5. PEST-аналіз і приклад його використання
  6. SNW- аналіз.
  7. SWOT - аналіз на прикладі фабрики з виробництва взуття.

Головне завдання стандартів інформаційної безпеки - узгодити позиції і цілі виробників, споживачів і аналітиків класифікаторів в процесі створення і експлуатації продуктів інформаційних технологій. Кожна з перерахованих категорій фахівців оцінює стандарти і містяться в них вимоги і критерії за своїми власними параметрами.

Для більшості споживачів найбільше значення мають простота критеріїв безпеки і однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини користувачів першу роль грає гнучкість вимог і можливість їх застосування до специфічних ІТ-продуктів і середах експлуатації. Виробники ІТ-продуктів вимагають від стандартів максимальної конкретності та сумісності вимог і критеріїв з сучасними архітектурами ВС, поширеними ОС і технологіями обробки інформації.

Експерти по кваліфікації хочуть, щоб стандарти інформаційної безпеки детально регламентували процедуру кваліфікаційного аналізу і потребують чітких, простих, однозначних і швидко застосовувати їх критерії. Очевидно, що подібний ідеал недосяжний, і реальність вимагає від кожної сторони певних компромісів. Тому не будемо проводити суб'єктивний аналіз стандартів з точки зору кожного з учасників процесу створення захищених систем, а спробуємо ввести загальні для всіх "об'єктивні" критерії зіставлення.

Як узагальнених показників, що характеризують стандарти інформаційної безпеки і мають значення для всіх трьох сторін, пропонується використовувати універсальність, гнучкість, гарантованість, реалізація та актуальність.

універсальність стандарту визначається безліччю типів ВС і областю інформаційних технологій, до яких можуть бути коректно застосовані його положення. Це дуже важлива характеристика стандарту, бо інформаційні технології переживають період бурхливого розвитку, архітектура комп'ютерних систем вдосконалюється, а сфера їх застосування постійно розширюється. Стандарти інформаційної безпеки в своєму розвитку не повинні відставати від сучасних інформаційних технологій або обходити ту чи іншу сферу їх застосування.

під гнучкістю стандарту розуміється можливість і зручність його застосування до постійно розвиваються інформаційних технологій і час його "старіння". Гнучкість може бути досягнута виключно через фундаментальність вимог і критеріїв та їх інваріантність по відношенню до механізмів реалізації та технологій створення ІТ-продуктів. Однак, очевидно, що надмірна абстрактність вимог і відірваність їх від практики знижує їх реалізація.

гарантованість визначається потужністю передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу. Спочатку цього питання не приділялося багато уваги, але аналіз досвіду застосування перших стандартів інформаційної безпеки показав, що для досягнення поставлених цілей аналітики, класифікатори повинні мати можливість обґрунтовувати свої висновки, а розробники потребують механізми, за допомогою яких вони могли б підтвердити коректність своїх домагань і надати споживачам певні гарантії.

реалізація - Це можливість адекватної реалізації вимог і критеріїв стандарту на практиці, з урахуванням витрат на цей процес. Реалізація багато в чому пов'язана з універсальністю і гнучкістю, але відображає чисто практичні і технологічні аспекти реалізації положень і вимог стандарту.

актуальність відображає відповідність вимог та критеріїв стандарту постійно розвивається безлічі загроз безпеки і новітнім методам і засобам, що використовуються зловмисниками. Ця характеристика, поряд з універсальністю є однією з найважливіших, т. К. Здатність протистояти загрозам і прогнозувати їх розвиток фактично визначає придатність стандарту і є вирішальним фактором при визначенні його придатності.

Класифікація розглянутих стандартів інформаційної безпеки за запропонованими показниками наведена в таб. 13.4.

Ступінь відповідності стандартів запропонованим показниками визначається за наступною якісною шкалою:

- Обмежене відповідність - недостатня відповідність, при застосуванні
 стандарту виникають суттєві труднощі;

- Помірне відповідність - мінімальне відповідність, при застосуванні
 стандарту в більшості випадків істотних труднощів не виникає;

- Достатня відповідність - задовільний відповідність, при застосуванні стандарту в більшості випадків не виникає ніяких труднощів, однак ефективність пропонованих рішень не гарантується;

- Висока відповідність - стандарт пропонує спеціальні механізми і процедури, спрямовані на поліпшення даного показника, застосування яких дозволяє отримувати досить ефективні рішення;

- Чудове відповідність - поліпшення даного показника розглядалося авторами стандарту в якості однієї з основних цілей його розробки, що забезпечує ефективність застосування запропонованих рішень.

Таблиця 13.4. Зіставлення стандартів інформаційної безпеки.

 Стандартибезопасності  Показники зіставлення стандартів інформаційної безпеки
 універсальність  гнучкість  гарантованість  реалізація  актуальність
 Помаранчева книга (1983 р)  обмежена  обмежена  обмежена  висока (за винятком класу А)  помірна
 Європейські критерії (1986 рік)  помірна  помірна  помірна  висока  помірна
 Документи ГТК (1992 р)  обмежена  обмежена  Відсутнє  висока  обмежена
 Федеральні критерії (1992 р)  висока  відмінна  достатня  висока  висока
 Канадські критерії (1993 г.)  помірна  достатня  достатня  достатня  достатня
 Єдині критерії (1999)  чудова  чудова  чудова  чудова  чудова

Розглянемо, в якому ступені стандарти інформаційної безпеки відповідають запропонованим показниками, і простежимо напрямки, яким йшло їх розвиток.



Попередня   96   97   98   99   100   101   102   103   104   105   106   107   108   109   110   111   Наступна

Основні положення | профіль захисту | Етапи розробки Профілю захисту | Таксономія функціональних вимог | Ранжування функціональних вимог | мета розробки | Основні положення | профіль захисту | проект захисту | функціональні вимоги |

загрузка...
© um.co.ua - учбові матеріали та реферати