Ақпарыттық қауіпсіздік стандарттары мен спецификациясы



 

                                                    Мазмұны

 

Кіріспе..............................................................................................................................2

Негізгі бөлім:

1.  Ақпараттық қауіпсіздіктің стандарттары мен спецификациясы...........................3

1.1. «Қызыл сары кітапқа» сәйкес қауіпсіздік..............................................................3

1.2. «Қызыл сары кітапқа» сәйкес қауіпсіздік механизмі..........................................6   

1.3.  «Қызыл сары кітапқа» сәйкес қауіпсіздік кластары............................................8

2. «Қызыл сары кітап» Х.800 нұсқаулығы.................................................................11

2.1  Сенімді қауіпсіздік талаптары мен қызметтері .................................................16

2.2  Желілік конфигурация үшін «Қызыл сары кітаптың» интерпретациясы......18

Қорытынды..................................................................................................................22

     

Қолданылған әдебиеттер тізімі.................................................................................22

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    

 

Кіріспе

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ақпарыттық қауіпсіздік стандарттары мен спецификациясы

1.1.           «Қызыл сары кітапқа» сәйкес қауіпсіздік саясаты

Бағалау стандарттары мен техникалық спецификациялар. «Қызыл сары кітап» бағалау стандарты.

            Ақпараттық қауіпсіздіктің стандарттары мен спецификациялары екі түрлі жолмен жүзеге асады:

      Бағалау стандарттары, классификациялық ақпарат жүйесіне бағытталған және ақпараттық қауіпсіздіктен қорғау міндеткерлігі;

      Техникалық спецификация, регламентті әртүрлі аспектілерді қорғау құралымен дамыту.

       Айталық, екі түрмен жолмен жүзеге асырылатын нормативтік мәліметтер, үнсіздік қабырғасында көрсетілмеген. Бағалау стандарттары ақпарат жүйесінің базалық көз қарасымен, ақпарат жүйесінің аспектісімен, архитектуралық спецификацияда маңызды орын алады.

       Бірінші тарихи бағалау стандарттары кең көлемді алып және көп елдердің ақпараттық жүйе базасында стандартизациялық базаға үлкен әсерін тигізіп, Қорғаныс Министрі АҚШ тың «Бағалау компьютер жүйесінің сенімділік критериі» орын алды.

         Бұл критери алғаш рет 1983 жылы тамыз айында жарық көрінді. Мұнда қауіпсіздік жайлы емес, сенімділік жүйесі жайлы, яғни жүйе, белгілі бір жүйеде көрсетілген сенім жайлы айтылмақ.

          Қауіпсіздік жүйесі – басқару құрамдары, ақпарат қолжетімжілігі, авторизациялық процесс арқылы ақпаратты оқуға, жазуға, құруға және өшіруге мүмкіндік береді.

         Бірақ қауіпсіздік жүйесі мүлдем жүзеге аспайды, себебі ол абстракция. Тек бағалау жүйесінің сенімділігін осы және келесі жүйеде жүзеге асыруға болады.

        Сенімділік жүйесі жүйені және қажетті аппараттарды қолдануға, программалық құралдар арқылы уақыт аралығында әр түрлі жүйеде құпия ақпараттарын өндеу арқылы және кез келген қолданушыға қолжетімділік құзырынан айырылмауы қажет.

 

Сенімділік бағалау жүйесі екі критеримен жүзеге асады:

1.      Қауіпсіздік саясаты – заң жүйесі мен іс-әрекет нормасын, ережесін қадағалау, ұйымдар ұйымдастырған және кең көлемде дамыған ақпарат көздерін қорғау. Ережелерде қорғау үшін қолданушы қолданатын нақты мәліметтер жүйесін ұйымдастыру қажет. Жоғары дамыған сенімділік жүйесі қымбат және әр түрлі саясат қорғанысы арқылы атқарылады. Құрылымдалынған саясат жүйесі нақты қорғалынған механизмдер арқылы жүзеге асады. Қауіпсіздік саясаты – бұл белсенді қорғаныс аспектісі, өзіне қауіп төндіруші анализ және қарсы іс-әрекет түрлері.

2.      Кепілдік деңгейі – архитектурада көзделген және ақпарат жүйесін дамытудағы сенім мөлшері. Қорғаныс сенімділік тестілеу анализ қорытындысы және жалпы тексеру жүйесін дамыту арқылы толық және жеке компоненттерді тестілеуге мүмкіндік береді. Кепілдік жүйесі нақты дұрыс механизмдер мен қауіпсіздік саясатының дамуын қамтамасыз етеді. Бұл пассивті қорғаныс аспектісі.

                        Механизм нақтыламасы қауіпсіздік қатерден қорғау маңыздылығы. Сенімділік жүйесі қауіпсіздікке байланысты барлық оқиғаларды қадағалайды. Көрсетілген хаттамалар аудитта ақпараттық анализ тіркеу жүйесін толықтырады.

          Концепциялық сенім есептеу базасы орталық бағалау жүйесінің қауіпсіздік сенімділігін арттырады. Сенімділік есептеу базасы – ақпарат жүйесінің механизмдерін қорғау жиынтығы (аппараттық және программалық қамтамасыз ету), қауіпсіздік саясатының өміріне жауап береді. Есептеу базасының сапасы, оның даму мен администрация жүйесіне кіретін кіріс коррекцияларынан тұрады.

          Жалпы есептеу жүйесінде сыртқы компоненттер сенімділікті жоюға үлес қосады, бірақ бұл қорғаныс жүйесіне әсер етпеуі қажет. Қорытындылай келе, қауіпсіздік сенімділік бағалау жүйесі ақпараттық жүйенің қажетінше есептеу базасында керек компактілерді ңана қарастырады.

         Сенімді есептеу базасының негізгі қызметі – айналым мониторының функцияларын орындау, яғни объектінің (пассивті мазмұны) белгілі бір операциялық субъектілерінің (пайдаланушылардың атынан қызмет ететін ақпараттық жүйенің активті мазмұны) орындалу мүмкінділігін қадағалау.

         Монитор пайдаланушылар үшін қол жетімді қызметтерінің жиынтығымен сәйкес пәндердің мәліметтерін немесе программаларға пайдаланушылардың әрбір үндеуін тексереді.

          Бұл монитордың үш маңызды сапасы болуы қажет:

1.      Оқшаулылық. Монитордың жұмысын қадағалау мүмкіндігін алдын-ала хабарлау қажет.

2.      Толықтылық. Монитор әрбір үндеуге шақырылуы қажет, оны қажет етпейтін тәсіл болмауы қажет.

3.      Шағындылық. Монитор болашақта тестілеудің толықтылығына сенімді болуы үшін, оны талдап және тесттен өткізуге болатындай шағын болуы керек.

                 Монитор қарым-қатынас «қауіпсіздіктің ядросы» деп аталады. Ядро қауіпсіздігі – барлық қорғау механизмнің құрылу негізі болып табылады. Жоғарыда келтірілген монитор қарым-қатынасның сапасынан басқа ядро өзінің өзгеріссіз екендігін сенімді етпеуі қажет.

             Сенімді есептеу базасының шекарасын қауіпсіздік қашықтығы деп аталады. жоғарыда атап өткендей, қауіпсіздіктің шекарасына кірмейтін компоненттер сенімсіз болуы мүмкін. Бөлінген жүйелердің дамуы мен байланысты, «қауіпсіздік қашықтығы» көбнесе басқа мағынада қолданылады, яғни белгілі бір ұйымдардың иемділік шекарасын айтады. Иемділіктің ішінднгінің барлығы сенімді, ал сыртындағысы керсінше болып табылады.

1.2.           «Қызыл сары кітапқа» сәйкес қауіпсіздік механизмі  

Қауіпсіздік механизмі

      «Қызыл сары кітапқа» сәйкес қауіпсіздік саясаты міндетті түрде келесідей элементтерден тұрады:

      Қол жетімділікті еркін басқару;

      Объектіні қайта пайдалану қауіпсіздігі;

      Қауіпсіздік белгілері;

      Қол жетімділікті еріксіз басқару.

           Қол жетімділікті еркін басқару (кейде дискрециондық деп те атайды) – топтық немесе жеке субъектінің есебіне негізделген, объектінің қол жетімділігін бөлу әдісі. Басқарудың еркінділігі кей тұлғалардың (көбнесе объектінің иелері) өз қалауынша басқа субъектілерге ұсынылуынан немесе олардың объектіге өол жеткізу құқығынан айыруынан тұрады.

          Объектіні қайта пайдаланудың қауіпсіздігі – «қоқыстан» құпиялы ақпаратты әдейі немесе кездейсоқ шығарудан сақтайтын қол жетімділікті басқарудың қосымша құралы. Қайта пайдаланудың қауіпсіздігі оперативті ес обылысы (көбіне, экран бейнесі мен буфер үшін, кілтті шешу және т.б.), дисктік блоктар мен жалпы магнитті тасушылар үшін кепілдендірілуі керек.

             Жоғарыда айтқанымыздай, жаңа заманғы объекті – бағытты әдіс бұл элемент қауіпсіздігінің қызметін қысқартып, оның өткізілуін қиындатады. Және мәліметтердің үлкен көлемін буферлендіретін интеллектуалды құрылғы үшін де қиыншылық тудырады.

            Субъектілер мен объектілерге қол жетімділікті еріксіз басқаруды орындау үшін қауіпсіздік белгісі құрылады. Субъектінің белгісі оның сенімділігін көрсетеді, ал объектінің белгісі – ондағы ақпараттың қауіпсіздік мөлшерін білдіреді.

           «Сары қызыл кітапқа» сәйкес қауіпсіздік белгісі екі бөлімнен құрылады – құпиялылық деңгейі мен категориялық тізімі. Құпиялылық деңгей тәртіптің көптігін пайда болғызады, категориялар мәліметтерге тиісті пәндердің облысын суреттейді.

          Қол жетімділікті еріксіз басқару субъекті мен объектінің қауіпсіздік белгісінің орындалуына негізделген.

         Субъект өзінің құпиялық деңгейі объектіден төмен болмаған жағдайда ған сол объектідегі мәліметтерді оқи алады, ал объектінің қауіпсіздік белгісіндегі барлық категориялар субъектінің белгісінде болады. Осындай жағдайда, субъектінің белгісі объектінің белгісін басқарады деп атайды. Белгіленген ережелердің (талаптардың) мағынасы түсінікті – тек тиісті нәрсені ғана оқуға болады.

             Субъект объектінің қауіпсіздік белгісі субъектінің белгісінен жоғары болған жағдайда мәліметті объектіге жаза алады. Негізінен, «құпиялы» субъект мәліметтерін құпиялы файлға жаза алады, бірақ басқа файлдарға жазуға мүмкіндік жоқ.

             Қол жетімділікті басқарудың бұл тәсілі еріксіз деп аталады, себебі ол субъектінің (жүйе администраторы болса да) еркіне тәуелсіз болып табылады.

            Егер қауіпсіздік саясатын тек қол жетімділіктің шекарасы ретінде түсінетін болсақ, онда есептілік механизмі бұндай саясатты толықтырушы болып табылады. Есептеудің мақсаты – кез келген кезде жүйеде кім және қалай жұмыс істеп жатқанын біліп отыруға керек.

Есептеу құралы үш категорияға бөлінеді:

      Идентификация және аудинтификация;

      Сенімді жолды көрсету;

      Тіркелетін ақпаратты талдау.

        Идентификацияның қарапайым тәсілі – жүйеге кіретін кездегі пайдаланушының атын енгізу. Пайдаланушының шыңайлылығын (аудентификация) стандартты тексеру құралы – кілт.

           Сенімді жол пайдаланушыны міндетті түрде сенімді есептеу базасымен байланыстырады. Ал басқа ақпараттық жүйенің қауіпті компоненттерін қоспайды.

            Тіркелетін ақпаратты талдау (аудит) жүйенің қауіпсіздігіне қатысты жағдайлар мен (оқиғалармен) жұмыс істейді.

              Егер барлық оқиғаларды тіркесек, тіркелетін ақпараттың көлемі тым тез өседі де, ал оның талдауы сапалы болмайды. «Қызыл сары кітап» оқиғалардың да, пайдаланушылардың (тек күмәнділерді ерекше қадағалайды) да қатынасын тандамалы хаттамадан өткізу құралдарының сонын алдын ала біліп отырады.

            Қорғаудың пассивті аспектілеріне қатысты «Қызыл сары кітапта» кепілдіктің екі түрі көрсетіледі операциондық және технологиялық. Операциондық кепілдеме жүйенің архитектуралық және реализациялық аспектілеріне жатады, ал технологиялық кепілдеме – құрастыру және шығарып салу әдістеріне тиесілі болып табылады.

            Операциондық кепілдеме келесідей элементтерді тексеруден тұрады:

      Жүйенің архитектурасы;

      Жүйенің толықтылығы;

      Ақпаратты басқарудың құпиялы каналдарын тексеру;

      Сенімді басқару;

      Кедергілерден кейінгі қалыптастырудың сенімділігі.

           Операциондық кепілеме – бұл жүйенің архитектурасы мен оны өткізу қызметтерінің таңдалынған қауіпсіздік саясатын жүргізетіндігіне көз жеткізу әдісі болып табылады.

           Технологиялық кепілдеме – ақпарат жүйесінің барлық өмірлік циклін құрайды, яғни құрастыру, өткізу, тестілеу, сату және бірге шығару кезеңдерінен тұрады. Барлық әрекеттер ақпараттың бұзылуынан және қатерлі «закладкалардан» қорғау үшін қатаң стандарттарға сәйкес жүргізілуі типі.

1.3.           «Қызыл сары кітапқа» сәйкес қауіпсіздік кластары

Қауіпсіздік кластары.

               АҚШ-тың Қорғаныс министірлігі сенімді қауіпсіздік деңгейіндегі ақпараттық жүйені жаңартуға жол ашты.

           «Қызыл сары кітапта» сенімділіктің төрт деңгейі анықталған: D, С, В және А.

             D деңгейі қанағаттандырылмаған жүйеге арналған С деңгейіне А деңгеіне өту кезінде жүйелерге қатаң талаптар қойыла бастайды. С және В деңгейінің бөлімдері сенімділік деңгейінің өсуі бойынша кластарға (С1,C2.B1,B2,B3) бөлінеді.

             Қауіпсіздіктің барлық алты класы бар (C1,C2,B1,B2,B3,A1). Сертификация кезінде жүйені белгілі бір кластарға жатқызу үшін, оның қауіпсіздік саясаты мен кепілдеме деңгейі маңызды талаптарды қанағаттандыру қажет.

      

  2.  С1 класы:

      Есептеу базасының талап ету мақсаты таңдалып алынған қолданушыға тандалынған объект арқылы басқару қолжетімділігі;

      Кейбір қызметтерді орындамас бқрын, есептеу базасының сенімді тексеріс жасау барысында өолданушылар өздерін идентификациялау қажет. Аудентификацияға кейбір қорғаныс механизмдері қолданылады. Мысылы: пароль. Аудентификациялық ақпарат санкцигнирленбеген қол жетімділіктен қорғалуы қажет;

      Сенімді есептеу базасы сыртқы қызмет мәліметтерінен, командаларынан және жұмыс қадамының орындалуын қамтамасыз етеді.

      Негізгі аппараттық немесе программалық құралдар болуы тиіс, мұнда функционалдардың аппараттар мен микропрограммалық сенімді компоненттердің есептеу барысында дұрыстығын тексеру қажет;

      Қорғаныс механизмінде тестіленілген сабақ кестесінің және жүйенің  тәртіп мағлұматтары болуы тиіс. Тестілеу жүйесі көрсетуі тиіс, қолданушылар арасындағы көрсетілген әдістер мен есептеу базасының сенімді қорғау тәсілдерін жүзеге асыра алады.

      Сенімді есептеу базасында өндірушілердің даму жоспары қорғалуы тиіс.

       

Класс C2 (C1 қосымша):

      Қолжетімділік өндірушіге міндетті түрде жеткізілуі тиіс. Барлық объектілер қол жетімділік қорытындысы болуы тиіс.

      Белгіленіп алынған сақтау объектісінен, есептеу базасының сенімділігін қолданушы өтімді қолдануы қажет.

      Әр бір қолданушы жүйеде уникалды түрде идентификациялануы тиіс. Әр бір регистрациялық (тіркелінген) қызмет нақты қолданушылармен сәйкестендірілуі тиіс.

      Сенімді есептеу базасы құрылуы қажет, қорғаныс журнал тіркеу ақпаратынан және оған тиесілі қол жетімді объект пен тексеру базасынан.

      Тестілеу механизм ресурстары мен тіркеу ақпараттық қорғау жетіспеушіліктерінен тұрады.

         

Класс В1 (қосымша С2):

      Сенімді есептеу базасы басқару қауіпсіздігінің белгісі, әр субъекті мен сақтау объектісіне сәйкестендірілген;

      Сенімді есептеу базасы басқару қол жетімділігінің барлық субъектілері мен сақтау объектілерінің дамуын қадағалайды.

      Сенімді есептеу базасы изоляциялық процестердің бөліну дрестерін қамтамасыз етуі тиіс.

      Мамандандырылған, сенімді есептеу базасының дамуы мен архитектурасын және шығуы мен анализ объектілік коды мен тестіленуін қамтамасыз етеді.

      Сенімді есептеу базасы қауіпсіздік саясатын, оның ішінде формальды немесе формальды емес моделдерден тұрады.

         

Класс В2 (В1 қосымша):

      Барлық ресурстар жүйесінің белгісін жақсартады, (мысалы: ПЗУ), тік немесе жанама сенім субъектісі;

      Сенімді есептеу базасы сенімді коммунмкациялық өндірушілерден және идентификациялық, аудентификациялық операциялар жүйесінің орындалуын қамтамасыз етеді.

      Ұйымның құпиялы каналдары жады есі мен алмасуы қажет;

      Сенімді есептеу базасы ішкі ұүралдардың жақсы таңдалуына және оған тиселі емес модулдерден тұрады.

      Архитектура жүйесі ұйымның құпия каналдарын жады есі мен алмастыруға және әрі жоғары бағалау командаларын қадағалап, түгел тексерістен өткізілуі тиіс.

      Сенімді есептеу базасы, өзіне тиесілі жобалардың енуі мен тұрақтылығын қамтамасыз етуі тиіс.

      Қауіпсіздік саясатының моделі формальды болуы тиіс. Сенімді есептеу базасы жоғары деңгейлі спецификациялы болуы тиіс, нақты әрі толық түрде интерфейстерін анықтайды.

      Процесті өңдеуде және сенімді есептеу базасында басқару конфигурацияның жүйесіне жетекшілік етеді, жазбаша спецификациялық жоғары деңгейі өзгерісін қадағалайды, архитектуралық мәліметтер, жүзеге асырылуы мәліметтері, шығу тиістілері, объектілік код арқылы жұмыс түрлері, текстілі мәліметтер мен мағлұматтар.

      Тестілі тапсырмалар құпия командаларда ақпараттарды алмасу қызметтерінен тұрады:

        

Класс В3 (В2 қосымша):

      Басқару қол жетімділігі міндетті түрде басқару қол жетімділігінде көрсетілген кеңейтілген режимдерді қолданады. Мүмкіндік регистрациясының пайда болуын немесе жинақталған мәліметтер, қауіпсіздік саясаты жүйесінде кедергілерге ұшырауы мүмкін, ал жүйе олардың кедергі әдістерінің қиылсқан жерін анықтайды.

      Сенімді есептеу базасы келесі жолдар мен шешіледі, яғни толық және жанама қауіпсіздік механизмінің семантикасын қолдана отырып, жобалайды және құрастырады.

      Процедуралық анализ уақытша құпия каналдарын орындалуынан тұрады.

      Қауіпсіздік администраторының рөлі сәйкестендірілген, қауіпсіздік администарторын қолдануға тек нақты қызмет көрсетілімі алынған кезде қолданылады.

      Процедуралар мен механизмдер қолданлуы тиіс, жойылған мәліметтерді қалпына келтірген кезде немесе қорғаныс жұмысының кедергіге ұшыраған сәтте қолданылады.

      Сенімді септеу базасы, өзіне тиселі жобаларды қамтамасыз етеді.

 

Класс А1 (В3 қосымша):

      Тестілеу сенімді есептеу базасының формалдық спецификациясының жоғары деңгейін қадағалап, өндіруі қажет.

      Формальды спецификациялық жоғары деңгейлі болуы тиіс. Заманауи әдіс формалды спецификация мен верификациялық жүйені қолданады.

      Конфигурациялық механизм басқару жүйесі бүкіл өмір циклін және барлық жүйе компаненттерін, оған тиесілі қауіпсіздік әрекеттерін қамтамасыз етеді.

                  Формалды спецификацияның жоғары деңгейі мен шығару текстері өзара болуы тиісті.

2. «Қызыл сары кітап» Х.800 нұсқаулығы

«Қызыл  Сары кітапта» берілген класификацияларға қысқаша шолып кетсек:

      С деңгейі – ерікті басқару қол жетімділігі;

      В деңгейі – міндетті басқару қол жетімділігі;

      А деңгейі – верфицикалық қауіпсіздік.

           Критерилерде көптеген маңызды ескертулер айтуға болады. (мысалға: толық қысқа мәселелер, жүйелерді қарастырған кезде). Бұған қарамай ақпараттық қауіпсіздік саласында «Қызыл сары кітап » ешбір сапалы сын көрсетілмеді.

           Ақпарттық базаға ешбір күмәнсіз қиындық тудырмайтын, жалпыға түсінікті базис түсінігі пайда болды.

         Атап айтсақ, «Қызыл сары кітап » үлкен көлемді потенциалды ойлар айтылған. Біріншіден бүкіл өмір цикл жүйесін қамтамасыз ететін таңдау спецификациясынан эксплутациялық фазаға дейін ұйымдастырылған. Заманауи технологиялық программаларда ақпаратпен қамтамасыз етпейді, шығару спецификацияларының семантикалық программаларда ақпараттардың жоғалуына әкеледі. Маңызды мәліметтерді келесі басқару қол жетімділіктерде қарстырамыз.

          Ақпараттық қауіпсіздіктің жүйеді пайда болуы. Х.800 рекомендациясы. Жарық қауіпсіздігінің сервисі.

          Логикалық құрылымға қарағанда, тереңірек қаралған, біз Х.800 технологиялық спецификациясы «Қызыл сары кітапта » кейінірек пайда болған, бірақ ақпараттық қауіпсіздіктің жүйесінде толық және тереңірек қарастырылған.

          Рекомендация Х. 800 – мәліметті жан-жақты түрде қарастырады. Біз жарық функциясының қауіпсіздік спецификациясына тоқталамыз және қажетті даму қауіпсіздік механизмдеріне. Келесі қауіпсіздік сервистерінің орындалулары мен олардың келесі түрлерінен тұрады.

           Аудентификация. Бұл сервис жеке қолданушының қарым-қатынасы мен жеке мәліметтер тамырын тексереді. Аудентификация қолданушының қарым-қатынасы басқару байланыстарын қолдануға, тіпті сеанс уақытында  да қолданылады. Бұл келесі қауіптерді жоюдан тұрады, яғни маскард және қайталану сеансты байланыстырады. Аудентификация бір жақты және екі жақты болады. (Әр клиент өзінің даралығын серверге көрсетеді).

           Басқару қол жетімділігі. Қол жетімді жүйедегі санкционирленбеген ресурстарды қорғауға арналған.

          Құпиялық мәлімет. Санкционирленбеген ақпараттарды алудан қорғайды, жеке құпиялық тарфиканы қолдана отырып(бұл ақпарат қауіпсіздік жарық ақпараттық анализінде қолданылады).

            Мәлімет толықтылығы – қолданушы қолданатын қарым-қанынас байланыстарында барлық мәліметтердің немесе жеке жолдардың толықтылығы бұзылған жағдайда қалыпқа келтіруге, байланыстар арқылы немесе байланысыз жүзеге асады.

Төмендегі 1-кестеде OSI жеті деңгейлік моделінің эталондық деңгей қауіпсіздік функциясының бөлінуі келтірілген.

 

 

 

 

Кесте-1

Қауіпсіздік функциясы

Деңгей

1

2

3

4

5

6

7

Аудентификация

_

_

+

+

_

_

+

Басқару қол жетімділігі

_

_

+

+

_

_

+

Құпиялық байланыс

+

+

+

+

_

+

+

Байланыссыз құпиялылық

_

+

+

+

_

+

+

Тандалып алынған құпиялылық

_

_

_

_

_

+

+

Құпиялық трафика

+

_

+

_

_

_

+

Қалыпқа келтіру бүтіндігі

_

_

_

+

_

_

+

Бүтінділікті қалыпқа келтіру

_

_

+

+

_

_

+

Тандалып алынған бүтінділік

_

_

_

_

_

_

+

Байланыспаған бүтінділік

_

_

+

+

_

_

+

Қарсылық көрсетпеу

_

_

_

_

_

_

+

 

«+» қауіпсіздік функциясына сәйкес деңгей;

« - » қауіпсіздік функциясына сәйкес келмейтің деңгей;

 

          Көріп отырғанымыздай, қаіпсіздік басқару жүйесі орталық жүйеге қарағаннан ақпараттық жүйе туралы жан-жақты біледі.

              Стандарт ISO/IEC 15408 «Ақпараттық жүйенің  қауіпсіздікінің критериі ». Біз қайта бағалау стандартына тоқталамыз, «Ақпараттық жүйенің бағалау қауіпсіздік критериі» (1999жылы 1 желтоқсанда шығарылған), заманауи ең маңыздысы болып табылады. Бұл халықаралық стандарт бірнеше мемлекеттердің онжылдық мамандандырылған жұмыс қорынтындысына айналады, ал өзіне ұлттық және халықаралық масштаб көлемінде қазіргі уақыт мәліметтерінен белсенді үлгі алады.

              Тарихи мәліметтерде бұл стандартты «Жалпы критери мен» деп аталған. Біз тіпті ( ЖК ) қысқартылу түрінде қолданамыз.

             «Жалпы критерилер» негізінен метестандарт түрінде беріледі, ақпараттық жүйенің бағалау қауіпсіздігінің анықтайтын құрал-саймандардан және орындалу тәртібінен тұрады. «Қызыл сары кітапқа» қарағанда, ЖК таңдалынып алынған қауіпсіздік кластарынан тұрмайды. Қауіпсіздік міндеткерліктерін қоспай-ақ, мұндай кластарды нақты ұйымдар немесе нақты ақпарат жүйесін орындауға болады.

           Ақпарат жүйе маманының қөз-қарасы мен қарағанда ЖК кітапхана тіркесі, ол «программалар» - қауіпсіздік бойынша тапсырмалардың мазмұнын және қауіпсіздік типтік профилін жазуға көмектеседі.

           Мамандар біледі, қаншалықты сапалы кітапхананың программаларды орындауға қол жетімділігін және олардың сапасын кітапханасыз «нөлден» басталатын программалар жазылмайды, олардың бағалау қауіпсіздігі көрсетілген қиындық деңгейінен шығып қалған және «Жалпы критерилер» керекті құрал-саймандарды жеткізіп береді.

             Бастысын атап өтсек, мұнда кітапхана функцияларының параметрлері талап етіледі. «Қызыл сары кітап» негізінде ЖК негізгі екі талаптар қауіпсіздігінен тұрады:

      Функционалдық, белсенді қорғаныс аспектісі, көрсетілген қауіпсіздік функциясы мен механизм орындалуы арқылы жүзеге асады.

      Талап ету сенімділігі, пассивті аспектіге байланысты, көрсетілім технологиясы мен эксплутацияға және процесс өктемділігіне арналған.

                  Талап ету қауіпсіздігіне бағалау объектісі мен аппараттық – программалық өніммен ақпарат жүйе белгісі бір орындалуын тексереді. Маңыздысы, ЖК қауіпсіздігі статикалық түрде емес, бағалау объектісінің өмір циклмен қаралады. Келесі этаптардан тұрады:

      Проектілеу мен өңдеу;

Ақпарыттық қауіпсіздік стандарттары мен спецификациясы