XS
SM
MD
LG
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)


Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)

Рівень гарантій захисту інформації в інформаційно-комунікаційних системах

11:16, 10-10-2021

Нормативний документ ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» встановлює критерії оцінки захищеності інформації. До них входять функціональні критерії (дозволяють оцінити наявність послуг безпеки) та критерії гарантій (дозволяють оцінити коректність реалізації послуг безпеки). Критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування й експлуатаційної документації.

Загалом існують сім рівнів гарантій – від Г-1 до Г-7. Чим більше число, тим більш захищеною є система.

Більшість автоматизованих систем на сьогодні відповідають рівню Г-2 та Г-3 і це досить високий рівень гарантій. В Україні рівні гарантій Г-3 та Г-4 мають лише деякі спеціалізовані системи військового призначення (наприклад, Г-3 - це рівень гарантій комплексу зв’язку командно-штабної машини). Рівні Г-5, 6 та 7 поки що не отримала жодна інформаційна система. До речі, рівню гарантій Г-2 також відповідають програмні продукти для державного та цивільного сектору від ведучих світових розробників, таких як Cisco, Microsoft, ESET, IBM тощо.

Рівень гарантій Г2 відповідає рівню EAL 3 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation». Рівень Г3 відповідає рівню EAL 4 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».

Перелічені рівні гарантій підтверджують повну контрольованість та керованість процесів розробки, постачання та супроводження програмного забезпечення, що виключає можливість випадкового чи навмисного витоку, несанкціонованого збору та передачі даних третім особам або внесення зловмисниками програмних закладок у вихідний код ПЗ на всіх етапах життєвого циклу створення та експлуатації ПЗ.

Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань КЗЗ. В цих критеріях вводиться сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб КС одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів.

Вимоги розділені по різним підрозділам, які забезпечують безпеку з різних сторін:

  1. Архітектура – Вимоги до архітектури забезпечують гарантії того, що КЗЗ у змозі повністю реалізувати політику безпеки.
  2. Середовище розробки – Вимоги до середовища розробки забезпечують гарантії того, що процеси розробки і супроводження оцінюваної КС є повністю керованими з боку Розробника.
  3. Послідовність розробки – Вимоги до процесу проектування (послідовності розробки) забезпечують гарантії того, що на кожній стадії розробки (проектування) існує точний опис КС і реалізація КС точно відповідає вихідним вимогам (політиці безпеки).
  4. Середовище функціонування – Вимоги до середовища функціонування забезпечують гарантії того, що КС поставляється Замовнику без несанкціонованих модифікацій, а також інсталюється і ініціюється Замовником так, як це передбачається Розробником.

Документація – Вимоги до документації є загальними для всіх рівнів гарантій.

У вигляді окремих документів або розділів (підрозділів) інших документів Розробник повинен подати опис послуг безпеки, що реалізуються КЗЗ, настанови адміністратору щодо послуг безпеки, настанови користувача щодо послуг безпеки.

В описі функцій безпеки повинні бути викладені основні, необхідні для правильного використання послуг безпеки, принципи політики безпеки, що реалізується КЗЗ оцінюваної КС, а також самі послуги.

Настанови адміністратору щодо послуг безпеки мають містити опис засобів інсталяції, генерації і запуску КС, опис всіх можливих параметрів конфігурації, які можуть використовуватися в процесі інсталяції, генерації і запуску КС, опис властивостей КС, які можуть бути використані для періодичної оцінки правильності функціонування КЗЗ, а також інструкції щодо використання адміністратором послуг безпеки для підтримки політики безпеки, прийнятої в організації, що експлуатує КС.

Настанови користувачу щодо  послуг безпеки мають містити інструкції щодо використання функцій безпеки звичайним користувачем (не адміністратором).

Назва документів (розділів) не регламентується. Опис послуг безпеки може відрізнятися для користувача і адміністратора. Настанови адміністратору і настанови користувачу можуть бути об'єднані в настанови з установлення і експлуатації.

Саме на кафедрі систем інформаційного та кібернетичного захисту студенти отримують необхідні знання, що дозволять їм, використовуючи «рівні гарантій», оцінювати захищеність інформації в комп’ютерних системах від несанкціонованого доступу.

Бажаєте дізнаватись про особливості вступу у 2024 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека" кафедри Систем інформаційного та кібернетичного захисту та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.
Читайте також

Про кафедру

Кафедра Систем інформаційного та кібернетичного захисту

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Системи технічного захисту інформації

Фахівці з технічного захисту інформації – це унікальні спеціалісти, які поєднують теоретичні та практичні знання в областях: інформатики, архітектури комп'ютерів, систем і пристроїв інформаційної та кібернетичної безпеки, проектування та експлуатації комплексних систем захисту інформації.

В процесі навчання студенти опановують найсучасніші системи захисту інформації, багатофункціональні пошукові прилади, апаратуру спеціальних досліджень для пошуку та нейтралізації закладних пристроїв, запобігання витоку інформації через різноманітні фізичні (не тільки цифрові) канали, отримують міжнародні сертифікати.

Спеціалізація: Системи технічного захисту інформації

Фахівці з технічного захисту інформації – це унікальні спеціалісти, які поєднують теоретичні та практичні знання в областях: інформатики, архітектури комп'ютерів, систем і пристроїв інформаційної та кібернетичної безпеки, проектування та експлуатації комплексних систем захисту інформації.

В процесі навчання студенти опановують найсучасніші системи захисту інформації, багатофункціональні пошукові прилади, апаратуру спеціальних досліджень для пошуку та нейтралізації закладних пристроїв, запобігання витоку інформації через різноманітні фізичні (не тільки цифрові) канали, отримують міжнародні сертифікати.

Переглядів: 4 797