Obsah
Moderní počítačové systémy jsou vybaveny určitými způsoby, jak chránit informace před cizími lidmi a vetřelci. Bez ní není možné si představit žádný program nebo celý komplex informačních technologií. Třídy zabezpečení jsou nezbytné pro počítačové systémy, protože více osobních údajů uživatelů a duševního vlastnictví končí online a rozsah jejich ochrany přímo ovlivňuje životy lidí. V tomto ohledu je třeba zvážit stávající typy ochrany informací.
Obecné informace
Díky standardizaci a systematizaci požadavků a charakteristik informačních komplexů s ochranou se objevil systém národních a mezinárodních standardů v oblasti ochrany a bezpečnost informací, obsahuje více než sto dokumentů. Jedno z hlavních míst v tomto systému zaujímá norma ISO IEC 15408, jinak nazývaná Common Criteria.
Historie
Začátek vytvoření mezinárodního standardu pro hodnocení bezpečnosti a bezpečnostních tříd začal v roce 1990 Mezinárodní organizace podle standardizace. Na vývoji se podílely USA, Kanada, Německo, Anglie a Francie. Vývoj probíhal deset let nejlepších odborníků ve světě, a byl více než jednou upraven. Schválení standardu verze 2.1 došlo 8. června v roce 1999. Obecný název Common Criteria, nebo "Obecná kritéria pro hodnocení bezpečnosti informačních systémů".
Vytvořené "Obecná kritéria" kombinujte znalosti a zkušenosti s používáním "Oranžové knihy", pokročila v evropských a kanadských kritériích bezpečnosti systémů a vytvořila skutečnou strukturu profilů ochrany federálních kritérií USA.
Obsah
Obecná ustanovení klasifikují širokou škálu požadavků na zabezpečení počítače, definují strukturu seskupení a použití. Hlavní výhodou tohoto systému bylo úplné stanovení bezpečnostních požadavků a jejich zefektivnění, flexibilita při používání a možnosti dalšího postupu. Hlavní světoví výrobci technologií té doby okamžitě vytvořili a dodali zákazníkům prostředky, které splňují požadavky obecných kritérií.
Jejich vývoj byl proveden za účelem splnění následujících skupin odborníků: výrobci, spotřebitelé IT produktů a odborníci při hodnocení úrovně bezpečnosti technologií. Zavedená norma poskytla základ pro výběr informačních produktů, které musí splňovat požadavky na fungování v rámci bezpečnostního rizika, a slouží jako podpora pro vývojáře bezpečnostních systémů těchto produktů. Rovněž je regulována technologie vytváření takových systémů a hodnocení dosažené úrovně zabezpečení.
Se zavedením kritérií, informační bezpečnost považuje se za soubor integrity a důvěrnosti údajů, které informační produkt zpracovává, a stanoví cíl chránit produkt a čelit hrozbám, které mohou být relevantní při používání konkrétního produktu. Z toho vyplývá, že kombinovaná kritéria jsou zahrnuta všechny části navrhování, vytváření a používání informačních produktů, které fungují pod určitými bezpečnostními hrozbami.
Struktura
Pojmenovaná norma ISO 15408 obsahuje tři části:
- Úvod a obecná prezentace.
- Funkční bezpečnostní požadavky.
- Požadavky na bezpečnost.
Z tohoto seznamu je jasné, co je společné kritéria stanoví dva typy požadavků na ochranu informací: funkční a zaručené. První jsou relevantní pro bezpečnostní služby, které zahrnují ověřování, identifikaci, správu přístupu, audit atd. Záruka zahrnuje vývojovou, testovací, zranitelnou analýzu, provozní, doprovodnou technologii atd.
Všechny třídy zabezpečení a požadavky na ně mají společný styl a jsou uspořádány do hierarchie. Mezi nimi mohou existovat závislosti za předpokladu nedostatečných schopností komponenty pro splnění bezpečnostního cíle a potřeby mít jinou komponentu.
Modely hrozeb
Aby bylo možné efektivně využívat a rozvíjet bezpečnostní profil, provádí se v procesu jeho vytváření analýza všech hrozeb, které mohou být proveditelné s ohledem na technologii této skupiny. Během toho jsou sestaveny modely hrozeb, které zahrnují následující:
- životní cyklus ohrožení;
- směr ohrožení;
- zdroj;
- ohrožené systémy;
- aktiva vyžadující ochranu;
- metody a algoritmy implementace hrozby;
- možné problémy;
- rizika a další aspekty.
Navrhování modelu hrozeb
Nestačí jen předpokládat, jaká nebezpečí může systém očekávat. Kromě toho je nyní jejich počet obrovský a zajištění ochrany před všemi bude vyžadovat spoustu času a finančních prostředků. V souvislosti s tím je stanoven obecný seznam možných rizik relevantních pro systémy v dané oblasti, na jejichž základě budou v budoucnu stanovena kritéria pro stanovení bezpečnosti počítačových systémů tohoto typu.
Postup vytvoření modelu hrozeb je podobný provádění analýzy rizik. V procesu popisu hrozeb z úmyslné lidské činnosti se tedy vyhodnocuje formát zdroje podle způsobu implementace hrozby a pravděpodobnosti její implementace.
Třídy zabezpečení
Standard definuje bezpečnostní funkce jako součást systému, na kterém spočívá implementace podmnožiny pravidel jejich bezpečnostní politiky. K bezpečnostní funkci se přidává odolnost-charakteristika vykazující minimální nezbytný dopad na její bezpečnost, při kterém bezpečnostní politika této funkce bude porušena. Jeho významy jsou následující:
- Základní. Funkce zaručuje bezpečnost před náhodným porušením, pokud má pachatel nízký potenciál útoku.
- Průměrná. Je poskytována ochrana před cílenými bezpečnostními poruchami pachateli s mírnou mírou útoku.
- Vysoká. Zaručuje ochranu před plánovaným a organizovaným porušením před vetřelci s vysokou úrovní dovedností.
Existuje také samostatné schéma pro stanovení potenciálu útoku, které zohledňuje určité faktory:
- Při určování zranitelnosti:
- Čas potřebný k identifikaci problému. Úroveň potřebné přípravy. Znalost projektu a jeho fungování. Softwarové nástroje a další vybavení.
- Při použití:
- Čas strávený používáním problému. Úroveň přípravy. Seznámení s fungujícím projektem. Potřebné softwarové produkty.
Ochrana počítačových systémů hlavním úkolem jakéhokoli softwarového produktu odpovědného za zabezpečení počítače. V tomto případě je kvalita provádění této funkce a informace o hrozbách, kterým systém může čelit, má svou vlastní klasifikaci, předem schválena ve fázi vývoje. Díky tomu má počítačová bezpečnost vysoké ukazatele kvality.