Ранжирование функциональных требований
Состав и содержание включенных в Профиль защиты функциональных требований определяются средой эксплуатации ИТ–продукта. Чтобы обосновать выбор тех или иных требований и не вступать в противоречие с существующими стандартами в области безопасности ИТ–продуктов, функциональные требования, приведенные в "Федеральных критериях", ранжируются по уровням с помощью следующих четырех критериев: широта сферы применения, степень детализации, функциональный состав средств защиты, обеспечиваемый уровень безопасности.
Широта сферы применения определяется множеством сущностей к которому могут быть применены данные требования, а именно:
- пользователи системы, субъекты и объекты доступа;
- функции ТСВ и интерфейс взаимодействия с ТСВ;
- аппаратные, программные и специальные компоненты ТСВ;
- множество параметров конфигурации ТСВ.
Например, требования из разделов управления доступом, аудита, обеспечения работоспособности, мониторинга взаимодействий и простоты использования ТСВ могут относиться только к определенному подмножеству объектов доступа и параметров конфигурации ТСВ. Обеспечение прямого взаимодействия с ТСВ требуется только для некоторого подмножества функций ТСВ.
Степень детализации требований определяется множеством атрибутов сущностей, к которым применяются данные требования – либо ко всем атрибутам пользователей, субъектов или объектов, либо только к некоторому подмножеству этих атрибутов. Например, требования из разделов управления доступом, аудита и мониторинга взаимодействий могут относиться только к некоторому подмножеству атрибутов субъектов и объектов – к правам доступа, групповым идентификаторам пользователей, но не к атрибутам состояния субъектов и объектов и не к индивидуальным идентификаторам.
Функциональный состав средств защиты определяется множеством функций включенных в ТСВ для реализации той или иной группы функциональных требований. Например, политика управления доступом может включать либо произвольное, либо нормативное управление доступом, или и то, и другое одновременно.
Обеспечиваемый уровень безопасности определяется условиями, которых функциональные компоненты ТСВ способны противостоять заданному множеству угроз, отказам и сбоям. Например, нормативное правление доступом обеспечивает более высокий уровень безопасности, чем произвольное в силу его способности противостоять атакам типа "троянского коня".
Ранжирование всегда предполагает установление некоторого отношения порядка. Однако, независимое ранжирование функциональных требований по каждому из описанных критериев, хотя и дает некоторое представление о различиях между функциональными возможностями средств защиты, не позволяет установить четкую, линейную шкалу оценки уровня безопасности. Строгого отношения порядка, определенного на множестве функциональных требований не существует, т.к. значение требований и уровень обеспечиваемой ими защиты зависят не только от их содержания, но и от назначения ИТ–продукта и среды его эксплуатации. Для одних систем наиболее важными будут идентификация и аутентификация пользователей, а для других – реализация политики управления доступом или обеспечение работоспособности.
Поэтому в "Федеральных критериях" отсутствуют рекомендации как по выбору и применению тех или иных функциональных требований, так и по определению их роли в системе обеспечения безопасности. Вместо жестких указаний этот документ содержит согласованный с предшествующими ему стандартами ("Оранжевая книга", "Европейские критерии") ранжированный перечень функциональных требований и предоставляет разработчикам Профиля защиты возможность самостоятельно сделать выбор необходимых методов и средств обеспечения безопасности, основанный на назначении и специфике среды эксплуатации ИТ–продукта.
Приводимое ранжирование не противоречит предшествующим стандартам и вводится для исключения ошибок в определении степени защищенности системы из-за неправильной оценки значимости отдельных групп требований. Кроме того, ранжирование предоставляет разработчикам и пользователям возможность для обоснованной оценки реально обеспечиваемого уровня безопасности.
Применение критериев ранжирования к различным группам функциональных требований представлено в табл. 13.3.
Таблица 13.3. Ранжирование функциональных требований «Федеральных критериев»
| Функциональные требования | Широта сферы применения | Степень детализации | Функциональный состав средств защиты | Обеспечиваемый уровень безопасности |
| Реализация политики безопасности | ||||
| Политика аудита | ||||
| Идентификация и аутентификация | * | * | ||
| Регистрация в системе | * | |||
| Обеспечение прямого взаимодействия с ТСВ | * | * | ||
| Регистрация и учет событий | * | * | ||
| Политика управления доступом | * | * | * | |
| Контроль скрытых каналов | * | * | ||
| Политика обеспечения работоспособности | ||||
| Контроль за распределением ресурсов | * | * | ||
| Отказоустойчивость | - | - | - | - |
| Управление безопасностью | * | * | ||
| Мониторинг взаимодействий | * | * | * | |
| Логическая защита ТСВ | * | |||
| Физическая защита ТСВ | * | * | ||
| Самоконтроль ТСВ | * | * | ||
| Инициализация и восстановление ТСВ | * | |||
| Ограничение привилегий при работе с ТСВ | * | |||
| Простота использования ТСВ | * | * |
Дата добавления: 2020-10-14; просмотров: 482;
Поиск по сайту
Узнать еще
- Анализ запросов и требований потребителей.
- Анализ и синтез функциональных схем
- Анализ системных требований к ЭИС
- Анализ требований и другие рабочие потоки программной инженерии
- Анализ требований к документообороту в области производственного экологического контроля для предприятий малого и среднего бизнеса
- Анализ требований к техническим характеристикам ПМИОЭРЛ, определенных техническим заданием на ОКР
- АНАЛОГОВЫЕ МИКРОСХЕМЫ, ИСПОЛЬЗУЕМЫЕ ДЛЯ ПОСТРОЕНИЯ ФУНКЦИОНАЛЬНЫХ ЭЛЕМЕНТОВ ИО
- В ст. 513 ГК ДНР содержится неисчерпывающий перечень требований, которые запрещено прекращать зачетом.
Публикации по технике и механике
Публикации по биологии
Публикации по информатике
Публикации по строительству
Публикации по физике
Публикации по химии
Публикации по электронике
Публикации по искусству
Публикации по истории
Публикации по медицине
