Характеристика разработки структурной модели по методологии общих критериев. Анализ постановки задачи структурного, математического и функционального моделирования. Проведение исследования эффектов замены (замещения) наборов компонентов функциональности.
Аннотация к работе
Согласно подходу оценщик отказывается от фиксированных классов защищенности, к которым относят продукт или ИС, а составляет стандартным образом структурированный документ - задание по безопасности (ЗБ) или профиль защиты (ПЗ), содержащий характеристики защищенности, которые необходимы для оценки, в первую очередь, - индивидуальный набор функций безопасности объекта (ФБО). В работе под методологией ОК понимается совокупность понятий, методов, средств, функций и процессов задания требований, обеспечения и оценки безопасности продуктов и ИС в рамках единого подхода, который основан на систематизированных каталогах требований безопасности и требований доверия и изложен в ОК, ОМО и в ряде нормативно-методических документах, посвященных оцениванию изделий ИТ по ОК, в частности, Руководстве по разработке профилей защиты и заданий по безопасности Гостехкомиссии РФ [13]. В структурных моделях представлены концепции методологии ОК, функциональных моделях - основные действия оценщика и разработчика, описанные в ОМО, а математической модели - описание процесса выбора экономически обоснованного набора ФБО в соответствии с системой показателей защищенности по ОК. Методология ОК основывается на концепции угроз безопасности ИС и является базой для формулирования частных концепций - уязвимости, функции безопасности и пр., а также представления свидетельств оценки и действий разработчика и оценщика. Понятия методологии ОК включает в себя объекты и процессы, описываемые методами функционального и информационного моделирования: IDEF0 (методика SADT - Systems Analysis and Design Techniques) [21]; DFD (методика SADT) [22]; IDEF1X (методика IADT - Information Analysis and Design Techniques) [23]; IDEF5 (методика OA - Ontology Analysis) [24]; UML (методика OOAD - Object Oriented Analysisand Design) [25].3.1 Автоматическая реакция аудита безопасности (FAU_ARP) 3.3 Анализ аудита безопасности (FAU_SAA) 3.
Список литературы
1. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - Часть1. Введение и общая модель. - Госстандарт России, Москва, 2002.
2. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. - Госстандарт России, Москва, 2002.
3. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. - Госстандарт России, Москва, 2002.
4. Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 1: Introduction and general model. - January 2004.
5. Рэдклифф Д. Одна мера безопасности на всех. - Computerworld, № 12, 2000.
6. Осовецкий Л. Г., Суханов А. В., Мануйлов Н. А. Общие Критерии: Реальность и мифы. Научно - технические аспекты.// 9 НТК «Майоровские чтения». Теория и технология программирования и защиты информации. Применение вычислительной техники - СПБ. 2005. С. 3 - 5.
7. РД Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий (проект). - ФСТЭК России, 2005.
8. Кобзарь М., Сидак А. Стандартизация безопасности ИТ. Мир Связи. - №3, 2003.
9. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям. - JETINFO, № 6 (133), 2004.
10. Towns M. L. Common Criteria Paradigm (CC) - Annual Computer Security Applications Conference, Sheraton New Orleans, Louisiana, USA, December 11 - 15, 2000.
11. Бетелин В. В., Галатенко В. А., Кобзарь М.Т., Сидак А. А., Трифаленков И. А. Профили защиты на основе «Общих критериев». Аналитический обзор. Jet Info, Информационный бюллетень, №3(118), 2003.
12. Шеин А. В. Об использовании "Общих критериев". - Инфофорум, 02.04.2004.
13. РД Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003.
14. Афанасьев В. Н. Общие критерии безопасности информационных систем // Междун. студ. школа-семинар "Новые информационные технологии", г. Судак, 14 - 21 мая, 2003, Тезисы докладов XI в 2-х томах - М.: МГИЭМ, 2003.
15. Суханов А. В. Формальные модели защищенности информационных технологий на основе общих критериев. Диссертация на соискание ученой степени кандидата технических наук. - СПБ. 2006.
16. Калайда И. А., Трубачев А. П. Современное состояние и направления совершенствования нормативной базы в области IT-безопасности. - Information Security/Информационная безопасность, № 3, 2004.
17. Просяников Р. Е., Савельев М. С. Станут ли общими "Общие критерии". - BYTE, № 8, 2004.
18. Jurjens J. Towards development of secure systems using UMLSEC. In H. Hubmann, editor, Fundamental Approaches to Software Engineering (FASE/ETAPS, International Conference), volume 2029 of LNCS, pp. 187-200. Springer-Verlag, 2001.
19. Jurjens J. UMLSEC: Extending UML for Secure Systems Development, UML 2002, Dresden, Sept. 30 . Oct. 4, 2002, LNCS, Springer-Verlag.
20. Jurjens J., Fernandez E. B., France R. B., and B. Rumpe editors. Critical systems development with UML (CSDUML 2004). TU Munchen Technical Report, 2004. UML 2004 satellite workshop proceedings.
21. Federal Information Processing Standards Publication 183. Announcing the Standard for "Integration Definition for Function Modeling (IDEF0)". - 1993 December 21.
22. Калянов A. Н., Козлинский А. В., Лебедев В. Н. Сравнительный анализ структурных методологий // Системы управления базами данных, № 05-06, 1997.
23. Federal Information Processing Standards Publication 184. Announcing the Standard for “Integration Definition for Information Modeling (IDEF1X)”. - 1993 December 21.
24. Information Integration for Concurrent Engineering (IICE). IDEF5 Method Report. - Knowledge Based Systems, Inc., 1408 University Drive East College Station, Texas, USA. - September 21, 1994.
25. Unified Modeling Language Specification. Version 1.4.2. Formal/04-07-02, - OMG, July 2004.
26. Stojanovic L., Schneider J., Maedche A., Libischer S., Studer R., Lumpp Th., Abecker A., Breiter G., Dinger J. The role of ontologies in autonomic computing systems. - IBM Systems Journal, vol 43, no 3, 2004.
27. Виноградов А. Н., Осипов Г. С., Жилякова Л. Ю. Динамические интеллектуальные системы. Ч.2. Моделирование целенаправленного поведения // Известия АН. Теория и системы управления. - М: Наука, 2003, № 1. с.87 - 94.
28. Калашник Е. О., Суханов А. В. Логический контроль использования Общих Критериев // В мат III Межвуз. конференции молодых ученных - СПБ. 2006.
29. Калашник Е. О., Осовецкий Л. Г., Суханов А. В. Комплекс логического контроля использования Общих Критериев. // В сб. Технологии Microsoft в теории и практике программирования. С.41 - 42.
31. Каменнова М., Громов А., Ферапонтов М., Шматалюк А. Моделирование бизнеса. Методология ARIS. - М.: Весть-МЕТАТЕХНОЛОГИЯ, 2001.
32. Судов Е. В., Левин А. И., Давыдов А. Н., Барабанов В. В. Концепция развития CALS-технологий в промышленности России. М.: НИЦ CALS-технологий "Прикладная логистика", 2002.
33. Prieto-Diaz, R. The Common Criteria Evaluation Process. Process Explanation, Shortcomings, and Research Opportunities. - Commonwealth Information Security Center Technical Report CISC-TR-2002-03, December 2002 - CISC, James Madison University, USA.
34. Любимов А. В. Функциональная структура общих критериев оценки безопасности информационных технологий. // Тр. 9-й НТК "Теория и технология программирования и защиты информации. Применение вычислительной техники" - Санкт-Петербург, 18 мая 2005г, с. 20 - 24.
35. Николаев А. Ю., Любимов А. В., Суханов А. В. Автоматизация оценки объектов информатизации в соответствии с требованиями руководящих документов "Безопасность информационных технологий" Гостехкомиссии России. // IV Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты."- Сочи. 2005. С. 27 - 31.
36. ISO/IEC 17799:2005. Information technology - Security techniques - Code of practice for information security management (2nd edition). - ISO/IEC, 2005.
37. Гальперин В. М., Игнатьев С. М., Моргунов В. И. Микроэкономика: В 2-х т. - СПБ.: Экономическая школа, 1994. т. 1.