- •О.К.Юдін, в.М.Богуш
- •Частина і
- •1.1.2 Основні категорії теорії національної безпеки
- •1.1.3 Фактори та засоби забезпечення національної безпеки
- •1.2 Характеристика основних видів національної безпеки
- •1.2.1 Рівні та види національної безпеки
- •1.2.2 Політична безпека
- •1.2.3 Економічна безпека
- •1.2.4 Соціальна безпека
- •1.2.5 Воєнна безпека
- •1.2.6 Екологічна безпека
- •1.2.7 Науково-технологічна безпека
- •1.2.8 Забезпечення безпеки в інформаційній сфері
- •1.3 Система забезпечення національної безпеки вУкраїні
- •1.3.1 Визначення системи забезпечення національної безпеки
- •1.3.2 Функції системи забезпечення національної безпеки
- •1.3.3 Повноваження суб'єктів забезпечення національної безпеки
- •2.1 Поняття інформаційної безпеки
- •2.1.1 Визначення інформаційної безпеки
- •2.1.2 Життєво важливі інтереси особистості, суспільства та держави в інформаційній сфері
- •2.1.3 Об'єкти та суб'єкти інформаційної безпеки
- •2.1.4 Види інформаційної безпеки
- •2.1.5 Концепція інформаційної безпеки держави
- •2.2 Загрози інформаційній безпеці
- •2.2.2 Класифікація загроз інформаційній безпеці
- •2.2.3 Джерела загроз інформаційній безпеці
- •2.3 Методи і засоби забезпечення інформаційноїбезпеки
- •2.3.1 Основні принципи забезпечення інформаційної безпеки
- •2.3.2 Система забезпечення інформаційної безпеки держави
- •2.3.3 Основні форми і способи забезпечення інформаційної безпеки держави
- •3.1 Основні поняття інформаційного протиборства
- •3.1.1 Визначення поняття інформаційне протиборство
- •3.1.2 Інформаційна війна
- •3.1.3 Інформаційний тероризм
- •3.1.4 Інформаційна злочинність
- •3.1.5 Інформаційне протиборство як форма забезпечення інформаційної безпеки
- •3.2 Основні поняття інформаційної війни 3.2.1 Визначення інформаційної війни
- •3.2.2 Концепція інформаційної війни
- •3.2.3 Органи інформаційної війни
- •3.3 Основні форми інформаційної війни
- •3.3.1 Визначення форм інформаційної війни
- •3.3.2 Основні форми інформаційної війни на державному рівні
- •3.3.3 Основні форми інформаційної війни на воєнномурівні
- •3.3.4 Необхідні умови для досягнення інформаційної переваги
- •3.4 Інформаційна зброя в інформаційній війні
- •3.4.1 Визначення, особливості та сфера застосування інформаційної зброї
- •3.4.2 Інформаційна зброя воєнного застосування
- •3.4.3 Інформаційна зброя воєнного та невоєнного застосування
- •3.4.4 Особливості, що характеризують основні риси застосування інформаційної зброї
- •3.5 Основи теорії інформаційної боротьби
- •3.5.1 Зміст теорії інформаційної боротьби
- •3.5.2 Заходи інформаційної боротьби
- •3.5.3 Способи інформаційної боротьби
- •3.5.4 Форми ведення інформаційної боротьби
- •3.5.5 Методологія оцінки ефективності інформаційноїборотьби
- •4.1 Основні поняття психологічної війни
- •4.1.1 Поняття психологічної війни
- •4.1.2 Цілі та завдання психологічної війни
- •4.1.3 Види та закономірності психологічних впливів
- •4.2 Основи психологічних операцій
- •4.2.1 Зміст психологічних операцій
- •4.2.2 Ефективність психологічного впливу в психологічній операції
- •4.2.3 Органи та засоби проведення психологічних операцій
- •4.3 Технології психологічної війни
- •4.3.1 Основні характеристики об'єктів психологічної війни
- •4.3.2 Методика вивчення об'єктів психологічної війни
- •4.3.3 Форми психологічної війни
- •4.4 Методи впливу в психологічній війні
- •4.4.2 Навіюючий психологічний вплив
- •4.5 Особливі способи та прийоми психологічної війни
- •4.5.2 Маніпулювання свідомістю
- •4.5.3 Розповсюдження чуток та міфів
- •4.6 Основи забезпечення інформаційно-психологічної безпеки держави
- •4.6.1 Основні положення
- •4.6.2 Основи інформаційно-психологічної безпеки держави
- •4.6.3 Основні напрями діяльності державної системи забезпечення інформаційно-психологічної безпеки
- •5.1 Основні положення державної інформаційної політики
- •5.1.1 Визначення державної інформаційної політики
- •5.1.2 Поняття про програму входження держави в інформаційне суспільство
- •5.2 Основні напрями національної інформаційної політики
- •5.2.1 Основні напрями національної інформаційної політики у сфері суспільних відносин
- •5.2.2 Основні напрями національної інформаційної політики в економічній сфері
- •5.2.3 Основні напрями національної інформаційної політики в організаційній сфері
- •5.3 Державна політика забезпечення інформаційної безпеки
- •5.3.1 Основні поняття політики забезпечення інформаційної безпеки держави
- •5.3.2 Основні загрози інформаційній безпеці держави
- •5.3.3 Організаційний напрям протидії загрозам усфері інформаційної безпеки
- •5.3.5Розвиток матеріально-технічної бази системи інформаційної безпеки особи, держави та суспільства
- •5.3.6 Науково-практична робота щодо забезпечення інформаційної безпеки
- •5.3.7 Вдосконалення нормативно-правової бази забезпечення загальнодержавної системи інформаційної безпеки
- •Частина II
- •6.1.2 Форми адекватності інформації
- •6.1.3 Міри інформації
- •6.1.4 Якість інформації
- •6.1.5 Основні властивості інформації як предмета захисту
- •6.2 Інформаційні системи як об'єкти захисту
- •6.2.1 Загальні відомості про інформаційні системи
- •6.2.2 Структура інформаційної системи
- •6.2.3 Класифікація інформаційних систем
- •6.2.4 Основні характеристики інформаційної системи як об'єкта захисту
- •6.3 Інформаційні технології та проблеми їхньої безпеки
- •6.3.1 Визначення інформаційної технології
- •6.3.2 Співвідношення інформаційної технології та інформаційної системи
- •6.3.3 Класифікація та види інформаційних технологій
- •6.3.4 Основні проблеми безпеки інформаційних технологій
- •7.1 Загрози безпеці інформації та інформаційних ресурсів
- •7.1.1 Загальні положення
- •7.1.2 Збитки як категорія класифікації загроз
- •7.1.3 Класифікація загроз безпеці інформації
- •7.1.4 Класифікація джерел загроз
- •7.1.5 Ранжирування джерел загроз
- •7.1.6 Класифікація уразливостей безпеці
- •7.1.7 Ранжирування уразливостей
- •7.1.8 Класифікація актуальних загроз
- •7.2 Основні напрями забезпечення безпеки інформації та інформаційних ресурсів
- •7.2.1 Основні визначення
- •7.2.2 Правовий захист
- •7.2.3 Організаційний захист
- •7.2.4 Інженерно-технічний захист
- •7.3 Архітектура захисту інформації в мережах телекомунікацій
- •7.3.1 Архітектура відкритих систем
- •7.3.2 Загрози в архітектурі відкритих мереж
- •7.3.3 Процедури захисту
- •7.3.4 Сервісні служби захисту
- •7.3.5 Реалізація захисту
- •8.1 Загальні відомості про вимоги та критерії оцінки безпеки інформаційних технологій
- •8.1.1 Основні поняття про стандарти інформаційної безпеки
- •8.1.2 Критерії безпеки комп'ютерних систем
- •8.1.3 Європейські критерії безпеки інформаційнихтехнологій
- •8.1.4 Федеральні критерії безпеки інформаційних технологій
- •8.1.5 Канадські критерії безпеки комп'ютерних систем
- •8.2 Основні положення загальних критеріїв безпеки інформаційних технологій
- •8.2.1 Мета розробки, основні положення та склад "Загальних критеріїв"
- •8.2.2 Потенційні загрози безпеці та типові завдання захисту
- •8.2.3 Політика безпеки
- •8.2.4 Продукт інформаційних технологій
- •8.2.5 Профіль захисту
- •8.2.6 Проект захисту
- •8.3 Функціональні вимоги до засобів захисту 8.3.1 Загальна характеристика фвб
- •8.3.2 Класи функціональних вимог безпеки
- •8.4 Вимоги гарантій засобів захисту
- •8.4.1 Загальна характеристика вимог гарантій безпеки
- •8.4.2 Класи вимог гарантій безпеки
- •8.4.3 Рівні гарантій безпеки
- •8.5 Шляхи і перспективи застосування "Загальних критеріїв"
- •9.1 Стандарти менеджменту інформаційної безпеки та їх основні положення
- •9.2 Політика інформаційної безпеки організації
- •9.2.1 Визначення політики інформаційної безпеки організації
- •9.2.2 Концепція інформаційної безпеки в організації
- •9.2.3 Аналіз та оцінка ризиків
- •9.3 Основні правила інформаційної безпеки організації
- •9.3.1 Правила побудови системи забезпечення інформаційної безпеки
- •9.3.2 Організація проведення відновлювальних робіт і забезпечення неперервного функціонування об'єктів організації та організації в цілому
- •9.3.3 Правила розмежування доступу користувачів та процесів до ресурсів інформаційної сфери організації
- •9.3.4 Документальне оформлення політики безпеки
- •9.4 Система менеджменту інформаційної безпеки та її оцінка
- •Частина III
- •10.2 Загрози інформаційній безпеці України
- •10.3 Джерела загроз інформаційній безпеці України
- •10.4 Стан інформаційної безпеки України
- •10.5 Завдання із забезпечення інформаційної безпеки України
- •11.1 Загальні методи забезпечення інформаційної безпеки України
- •11.2 Особливості забезпечення інформаційної
- •11.2.1 Забезпечення інформаційної безпеки України всфері економіки
- •11.2.2 Забезпечення інформаційної безпеки України всфері внутрішньої політики
- •11.2.3 Забезпечення інформаційної безпеки України в сфері зовнішньої політики
- •11.2.4 Забезпечення інформаційної безпеки України у галузі науки та техніки
- •11.2.5 Забезпечення інформаційної безпеки України у сфері духовного життя
- •11.2.6 Забезпечення інформаційної безпеки України у загальнодержавних інформаційних і телекомунікаційних системах
- •11.2.7 Забезпечення інформаційної безпеки України у сфері оборони
- •11.2.8 Забезпечення інформаційної безпеки України управоохоронній і судовій сферах
- •11.2.9 Забезпечення інформаційної безпеки України в умовах надзвичайних ситуацій
- •11.3 Міжнародне співробітництво України в галузізабезпечення інформаційної безпеки
- •12.1 Основні функції системи забезпечення інформаційної безпеки України
- •12.2 Основні елементи організаційної основи системи забезпечення інформаційної безпеки України
- •12.3 Основні положення політики забезпечення інформаційної безпеки України
- •12.4 Першочергові заходи щодо реалізації політики забезпечення інформаційної безпеки України
- •Словник додаткових термінів і понять
- •491 Бібліоґрафія
- •1 Основи національної безпеки держави 12
- •2Основні положення інформаційної безпеки 35
- •3 Основи інформаційного протиборства 52
- •4 Психологічна війна та інформаційно-психологічна безпека держави 103
- •5 Основи державної інформаційної політики 186
- •6 Інформаційні системи та технології як об'єкти інформаційної безпеки 200
- •7 Основи безпеки інформаційних
- •8 Критерії безпеки інформаційних технологій 315
- •9 Основи управління інформаційною безпекою 379
- •10 Інформаційна безпека україни 397
- •11 Методи та заходи забезпечення інформаційної безпеки україни 411
- •12 Система та політика забезпечення інформаційної безпеки україни 440
- •Інформаційна
- •Безпека держави
8.2.6 Проект захисту
Проект захисту [Security Target (ST)] — нормативний документ, який включає вимоги та завдання захисту ІТ-продукту, а також описує рівень функціональних можливостей, реалізованих у ньому засобів захисту, їх обґрунтування і підтвердження ступеню їхніх гарантій. Профіль захисту, з однієї сторони є відправною точкою для розробника системи, а з іншої являє собою еталон системи в ході кваліфікаційного аналізу.
Профіль захисту містить вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, загальні специфікації ІТ-продукту, заявку на відповідність профілю захисту, обґрунтування (рис. 8.4). Багато розділів проекту захисту співпадають із однойменними розділами профілю захисту.
Проект захисту: вступ [ST introduction] — розділ проекту захисту, який містить інформацію, необхідну для ідентифікації проекту захисту, визначення призначення, а також огляд його змісту та заявку на відповідність вимогам "Загальних критеріїв".
Ідентифікатор проекту захисту — унікальне ім'я проекту захисту для його пошуку та ідентифікації, а також відповідного ІТ-продукту.
Огляд змісту проекту захисту — достатньо докладна анотація проекту захисту, що дозволяє споживачам визначати придатність ІТ-продукту для вирішення завдань.
Заявка на відповідність "Загальним критеріям" — опис усіх властивостей ІТ-продукту, що підлягають кваліфікаційному аналізу на основі "Загальних критеріїв".
Проект захисту: опис ІТ-продукту [TOE description] — розділ проекту захисту, який містить коротку характеристику ІТ-продукту, призначення, принцип роботи, методи використання і т. ін. Ця інформація не підлягає кваліфікаційному аналізові та сертифікації, але подається розробникам і експертам для пояснення вимог безпеки і визначення їхньої відповідності завданням, що вирішуються за
329
Частина II Основи безпеки інформаційних технологій
Рис. 8.4.Структура проекту захисту
330
Розділ 8 Критерії безпеки інформаційних технологій
допомогою ІТ-продукту.
Проект захисту: середовище експлуатації [TOE security environment] - розділ проекту захисту, що містить опис усіх аспектів функціонування ІТ-продукту, зв'язаних з безпекою. В середовищі експлуатації описуються умови експлуатації, загрози безпеці, політика безпеки.
Опис умов експлуатації ІТ-продукту повинен містити вичерпну характеристику середовища його експлуатації з точки зору безпеки, в тому числі обмеження на умови його застосування.
Опис загроз безпеці, що діють у середовищі експлуатації, яким повинен протистояти захист ІТ-продукту. Для кожної загрози повинно бути вказане її джерело, метод і об'єкт впливу.
Опис політики безпеки повинен визначати і, при необхідності, пояснювати правила політики безпеки, яка повинна бути реалізована в ІТ-продукті.
Проект захисту: завдання захисту [security objectives] — розділ проекту захисту, що відображає потреби користувачів у протидії потенційним загрозам безпеці і (або) реалізації політики безпеки. До складу задач захисту входять завдання захисту ІТ-продукту та інші завдання захисту.
завдання захисту ІТ-продукту повинні визначати і регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки.
Інші завдання захисту повинні регламентувати потреби в протидії потенційним загрозам безпеці і (або) у реалізації політики безпеки інших компонент комп'ютерної системи, що не відносяться до сфери інформаційних технологій.
Проект захисту: вимоги безпеки [IT security requirements] — розділ проекту захисту, що містить вимоги безпеки до ІТ-продукту, якими керувався виробник у ході його розроблення. Цей розділ дещо відрізняється від аналогічного розділу профілю захисту.
Розділ функціональних вимог безпеки до ІТ-продукту на відміну від відповідного розділу профілю захисту допускає використання крім типових вимог "Загальних критеріїв" і інших, специфічних для даного продукту та середовища його експлуатації. При описі таких спеціальних вимог необхідно зберігати стиль "Загальних критеріїв" і забезпечувати властиву їм ступінь деталізації.
Розділ вимог гарантій безпеки може включати рівні гарантій, не передбачені в "Загальних критеріях". В даному випадку опис рівня гарантій повинен бути чітким, несуперечливим і мати ступінь дета-
331
Частина II Основи безпеки інформаційних технологій
лізації, що допускає його використання в ході кваліфікаційного аналізу. При цьому бажано використати стиль і деталізації опису рівнівгарантій, прийняті в "Загальних критеріях".
Проект захисту: загальні специфікації ІТ-продукту [TOE summary specification] — розділ проекту захисту, який описує механізми реалізації завдань захисту за допомогою визначення багаторівневих специфікацій засобів захисту у відповідності до функціональних вимог безпеки та вимог гарантій безпеки, що пред'являються. Складаються зі специфікацій функцій захисту та специфікацій рівня гарантій.
Проект захисту: заявка на відповідність профілю захисту [РР claims] — необов'язковий розділ проекту захисту, який містить матеріали, необхідні для підтвердження заявки. Для кожного профілю захисту, на реалізацію якого претендує проект захисту, цей розділ повинен містити посилання на профіль захисту, відповідність профілю захисту, удосконалення профілю захисту.
Посилання на профіль захисту однозначно ідентифікує профіль захисту, на реалізацію якого претендує проект захисту, із зазначенням випадків, в яких рівень захисту, що забезпечується, перевершує вимоги профілю з коректною реалізацією усіх його вимог без виключення. Відповідність профілю захисту визначає можливості ІТ-продукту, які реалізують завдання захисту і вимоги, що містяться в профілі захисту.
Удосконалення профілю захисту відображає можливості ІТ-продукту, які виходять за рамки завдань захисту та вимог, встановлених у профілі захисту.
Проект захисту: обґрунтування [rationale] — розділ проекту захисту, який повинен показувати, що проект захисту містить повну і зв'язну множину вимог, що ІТ-продукт, який реалізує їх, буде ефективно протистояти загрозам безпеці. Крім того, обґрунтування містить підтвердження заявленої відповідності профілю захисту. Розділ деталізується у наступному.
Обґрунтування завдань захисту повинно демонструвати, що завдання захисту, заявлені в проекті захисту, відповідають властивостям середовища експлуатації, тобто їх вирішення дозволить ефективно протидіяти загрозам безпеці і реалізувати вибрану під них політику безпеки.
Обґрунтування вимог безпеки показує, що виконання цих вимог дозволяє вирішити завдання захисту тому, що:
• сукупність функціональних вимог безпеки та вимог гарантій без-
332
Розділ 8 Критерії безпеки інформаційних технологій
пеки, а також умов експлуатації ІТ-продукту відповідають завданням захисту;
усі вимоги безпеки є несуперечливими і взаємно підсилюють одна одну;
вибір вимог є оправданим;
рівень функціональних можливостей засобів захисту відповідає завданням захисту.
Обґрунтування загальних специфікацій ІТ-продукту повинно демонструвати, що засоби захисту та методи забезпечення їхніх гарантій відповідають вимогам, що пред'являються, оскільки:
сукупність засобів захисту задовольняє функціональним вимогам;
необхідний рівень безпеки та надійності захисту забезпечується засобами, що запропоновані;
• заходи, спрямовані на забезпечення гарантій реалізації функціональних вимог, відповідають вимогам гарантій.
Обґрунтування відповідності профілю захисту показує, що вимоги проекту захисту підтримують всі вимоги профілю захисту. Для цього повинно бути показано, що:
усі удосконалення завдань захисту порівняно з профілем захисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;
усі удосконалення вимог безпеки порівняно з профілем захисту реалізовані коректно і в напрямку їхнього розвитку та конкретизації;
усі завдання захисту профілю захисту успішно реалізовані і всі вимоги профілю захисту вдоволені;
ніякі додатково введені в проект захисту спеціальні завдання захисту та вимоги безпеки не суперечать профілю захисту.