FCS_CKM.l Генерация ключей требует, чтобы ключи создавались в соответствии с обусловленным алгоритмом и с размером (длиной ключа), которые основываются на предопределенном стандарте.
FCS_CKM.2 Распространение ключей требует, чтобы ключи распространялись в соответствии с обусловленным способом распространения, который основывается на предопределенном стандарте. (more…)

Данный класс используется, когда предмет оценки выполняет криптографические функции. Состоит из двух семейств — управление криптографическими ключами (FCS_CKM) и криптографические операции (FCS_COP). (more…)

Данный раздел основан на части 3 стандарта CCITSE.
Общие понятия
Соответствие между понятиями “класс”, “семейство” и “компонент” рассмотрим для понятия уверенность (англ. assurance) — убежденность в том, что некая конкретная сущность соответствует своим целям безопасности. Если понятие класса уверенности практически совпадает с понятием класса функциональности из части 2, то другие составляющие несколько отличаются. (more…)

Данный раздел основан на части 2 стандарта CCITSE.
Общие понятия
В начале документа рассмотрено соответствие между понятиями “класс”, “семейство” и “компонент”, определяемых по возрастанию уровня иерархии.
Компонент — наименьшее разделяемое множество элементов, которые могут быть включены в профиль защиты или предмет безопасности (англ. Protection Profile / Security Target — PP/ST). (more…)

Теперь рассмотрим вопросы классификации средств обработки информации. В разделе “Введение в классификацию ИС” этой главы, было упомянуто о множестве существующих классификаторов, в том числе и российских. Подробно с этими документами читатель может ознакомиться самостоятельно. Из их числа несомненно выделяются:
□ CCITSE (Common Criteria for Information Technology Security Evaluation — Общие критерии оценки безопасности информационных систем); (more…)

Таким образом можно предложить следующую модель для классификации информационных объектов. Для удобства дальнейших ссылок на класс категории рекомендуем сразу ввести буквенно-цифровое обозначение (в приведенном примере литера “Д” означает “доступность”, “Ц” — “целостность”* “К” — “конфиденциальность”, цифры возрастают с убыванием значимости критерия). (more…)

Тем, кто начинает свое знакомство с информационной безопасностью, уже на первых стадиях ее изучения попадутся названия “Оранжевая книга”, “Красная книга”, Общие критерии (Common Criteria), ТСРЕС, ITSEC и др.
Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:
□ Оранжевая книга (DoD 5200.28-STD — Trusted Computer Systems Evaluation Criteria) — выпущенные Министерством обороны США критерии оценки уровня безопасности компьютерных систем как таковых. (more…)

Для понимания материала, изложенного в данной главе, необходимо разделить понятие информационной системы на объекты, субъекты и средства работы с информацией. В главе 2 эти термины были уже определены, но для избежания путаницы повторим и уточним определения.
Объектом будем называть информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую. (more…)

Классификация субъектов и объектов информационной безопасности (ИБ), а также применяемых на предприятии средств работы с информацией — один из важнейших этапов построения комплексной системы безопасности. От корректности и тщательности ее проведения зависит то, насколько адекватно меры безопасности будут отражать специфику бизнес-процесса, и то, насколько удачно будут распределены материальные вложения в систему ИБ.