Оранжевая Книга

ГАПОУ СО «Каменск-Уральский техникум торговли и сервиса»

Оранжевая книга. Основные положения.

Подготовил: Слобожанин Никита студент 2-го курса группы ИС-206 09.02.05«Информ. системы и программирование» Руководитель: Экгауз Евгения Яковлевна Дисциплина «Стандартизация»

Каменск-Уральский, 2022г.

Оранжевая книга. Определение

Критерии определения безопасности компьютерных систем  — стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе.

Основные понятия

Политика безопасности.   Набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию.

Гарантированность. Мера доверия, которая может быть оказана архитектуре и реализации системы.

  Функции монитора обращений

Изолированность . Монитор должен быть защищен от отслеживания своей работы;

Полнота . Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;

Верифицируемость . Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Уровни надежности (безопасности)

В "Оранжевой книге" определяется  четыре уровня надежности  (безопасности) - D, C, B и A.

• Уровень  D предназначен для систем, признанных неудовлетворительными
• Уровень С – произвольное управление доступом;
• Уровень В – принудительное управление доступом;
• Уровень А - верефецируемая безопасность

Основные положения «Общих критериев»

Основные требования безопасности

• Функциональное, соответ-щее активному спектру защит
• Требование доверия(пассивный спектр)

В соответствии с ОК выделяются след-щие этапы построения защиты:

• Определение назначений, условий применения;
• Проектирование и разработка;
• Испытание, сертификация и оценка;
• Внедрение и эксплуатация

Нормативные элементы

В общих критериях формируется 2 вида нормативных элементов:

• Профиль защиты  – представляет собой типовой набор требований, которым должны удовлетворять системы определенного класса.
• Задания по безопасности  – содержит требования к конкретной разработке, выполнение которой обеспечивает безопасность.

В профиле защиты следует выделять:

• Функциональный пакет  - неоднократно использованная совокупность элементов для обеспечения целей безопасности.
• Функциональные требования , которые сгруппированы на основе выполненной ими роли в системе безопасности.

Всего в общих критериях представлено 11 классов, 60 семейств и 135 компонентов.

Оценочные уровни доверия

• В основных критериях введено 7 оценочных уровней доверия:
• Уровень 1: Угрозы не рассматриваются как серьёзные
• Уровень 2: Включает выборочное тестирование и поиск явных уязвимых мест
• Уровень 3: Контроль среды разработки и управления конфигурацией объекта оценки
• Уровень 4: Полная спецификация интерфейсов, применение неформальной модели политики безопасности, независимый анализ уязвимых мест.
• Уровень 5: Применение формальной модели политики безопасности.
• Уровень 6: Реализация представлена в структурном виде, и анализ соответствия должен распределяться на нижнем уровне.
• Уровень 7:  Представляет нормальную верификацию объекта оценки, и применимы к ситуациям с чрезвычайно высоким риском