Европейские критерии безопасности информационных технологий

Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, в Европейских критериях впервые вводится понятие адекватности средств защиты.

Адекватность включает в себя:

- эффективность, отражающую соответствие средств безопасности решаемым задачам;

- корректность, характеризующую процесс их разработки и функционирования.

Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.

Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В Европейских критериях таких классов десять. Пять из них соответствуют классам безопасности Оранжевой книги, другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.

Предназначены для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных;

характеризуется повышенными требования­ми к обеспечению работоспособности.

Ориентированы на распределенные системы обработки информации.

Уделяют особое внимание требованиям к конфиденциальности передаваемой информации.

Предъявляют повышенные требования и к целостности, и к конфиденциальности информации.

Европейские критерии определяют семь уровней адекватности от минимальной адекватности (аналог уровня D Оранжевой книги). При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектирования до эксплуатации и сопровождения. Другие уровни адекватности выстроены по нарастанию требований тщательности контроля.

Тема 6. Основные положения теории информационной безопасности. Модели безопасности и их применение. Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование.