Ақпарыттық қауіпсіздік стандарттары мен спецификациясы

      Тексеру, бағалау және сертификациялау;

      Енгізу және қолдану.

ЖК бағалау қауіпсіздік контексінде қаралады, белгілі бір міндеттер мен қауіп төну жағдайында. Өз кезегінде, қауіп төну сипаты келесі параметрлерден тұрады:

      Қауіп төну тамыры;

      Әдістердің тамыры;

      Қол жетімді орындарда қолданылған болуы мүмкін;

      Белсенді ресурстарға қауіп қатер төнуі мүмкін.

            Қауіптер орындарда жетспеушілік болуы мүмкін:

      Талап өту қауіпсіздігі;

      Проектілеу;

      Қолдану.

Сапасыз орындарды қысқарту қажет, минизирлеу немесе қызметте қолдану кезінде зиян шегінуден немесе кездейсоқ активизациядан сақтау қажет. Технологиялық программалау көз-қарасынан ЖК қолданыстан шыққан кітапхана қолданылған. Ең болмаса, кеңістікті жобалау кезінде «Жалпы критери» де иерахиялық класс – топ – компонент – элементті талап етеді. Кластар көбнесе талап группа сабағын анықтайды. (мысалы: талап ету функционалдарының қол астындағылар). Жанұя (семейства) кластарға қарағанда қатал және талабы күшті.

         Компонент – талап етудің ең кіші көрсеткіші, жалпыланған түрде.

         Элемент – бөлінбеген талап ету.

         Кітапхана функцияларының арасында және ЖК компонеттер арасында өзара байланыс болуы мүмкін. Мұндай байланыстар компоненке қауіпсіздік мақсатының жетіспеушілігінен туады. Барлық комбинациялық компоненттер мағынаға ие бола бермейді және кейбір түсінік деңгелері кітапхана ұйымының нақтыламасы жоқ екендігін көрсетеді, тіпті интерфейс объектілерін байланыс функцияларының орнын баса алмайды.

                Кітапхана көмегімен нормативті құжаттарды құру түрлері: қауіпсіздік түрлері және қауіпсіздік тапсырмалары.

               Қауіпсіздік профилі (ҚП) талап ету типтік жиынтығын көрсетеді және өнімді қанағаттандыру мен белгілі жүйелік класс (мысалы: ұйымдардағы компьютерлік операциялық жүйе).

                Қауіпсіздік тапсырмаларында нақты өндірісі жинақтарынан тұрады. Қауіпсздік алдына қойған мақсаттың орындалуын қадағалайды.

                ЖК дайын қауіпсіздік кластары жоқ. Классификациялық терминдерді ұйымдастырғанда «Жалпы критери» кейбір иерархиялық қауіпсіздік профилдерін анықтайды (еріксіз қысу талап ету).жоғары мөлшерде талап ету функцияларын және сенім талап ету қауіпсіздігінен тұрады. Көптеген қауіпсіздік прфильдері субъектілі мінезге ие. Мақсатты қатар бойынша ойы тұйықталған (осылардың ішінен біреуі объектілі бағытқа ие). Біздің көз-қарасымыз бойынша біріншіден ұйымдастырылған классификациялық бағытты және қауіпсіздік программалық базаны көрсету және функционалдық пакет қосымша компоненттерді талап етеді.

                  Функционалдық пакет – бұл компоненттердің жинақталуын қамтамасыз етеді. Белгілі қауіпсіздік мақсатында байланысқан жетістіктер болып табылады.

              «Жалпы критерилер» пакет жобасын қадағаламайды, верификациялық пакет, регистрация т.б., осыларға қарап программалық қауіпсіздік формасында технологиялық құрылымдарды қадағалайды.

               Базалық қауіпсіздік профилі ең маңызды талап ету қол жетімділігінен тұрады. өндірістік профилдер өздеріне қажетті кеңейтілген пакет қосып алады, яғни өндірістік кластар объектілік бағыттағы программалық тілдерінде жүзеге асады.

               Функционалдық талап ету. Функционалдық талап ету маңызды ұйымдастырылған бағытпен немесе көрсетілген қауіпсіздік мақсаты мен орындалады. «Жалпы критерилерге» функционалдық 11 класс, 66 жанұя,  135 компоненттер жатады. Бұл әрине өте көп, «Қызыл Сары  кітап» аналогтық мағынасынан қарағанда.

              Функционалдық талап ету ЖК саналатын кластар:

      Идентификация және аудентификация;

      Қолданушының қауіпсіздік мәліметтері;

      Қауіпсіздік функцияларын қорғау (талап ету мақсаты мен қауіпсіздік сервизін тексеру, олардың механизмдерін жүзеге асыру);

      Басқару қауіпсіздігі ( бұл кластың талап ету басқару атрибуттары мен қауіпсіздік параметлеріне жатады);

      Аудит қауіпсіздігі ( көрініс, регистрация, сақтау(хранение), анализ мәліметтері (анализ данных ), бағалау объектісінің қауіпсіздік қолданысы, қауіпсіздіктің бұзылу шарттары );

      Бағалау объектісіне қол жетімділік;

      Қорғау ( қолданушының санкционирленбеген және идентификациялық мәліметтерін жасырудан қорғау);

      Ресурстарды қолдану ( талап ету ақпаратына қол жетімділік);

      Критографиялық үйлесімділік ( басқару шеттері);

      Байланыс ( аудентификациялық бағыт, мәліметтерді қолдану саласында);

      Сенімді маршрут/канал ( қауіпсіздік сервистеріне арналған ).

Төмендегі 2-кестеде қауіпсіздік механизмдер мен функциялар арасындағы байланыстар келтірілген.

Кесте-2

«+» қауіпсіздік функциясының механизмінің дамуына арналған;                « - » қауіпсіздік функциясының механизмінің дамуына арналмаған;

2.1  Сенімді қауіпсіздік талаптары мен қызметтері

                     Ақпараттық базадағы заманауи екі класты жариялау. Бұл класс төрт жанұялық функциялық «Қорғау» талаптарынан тұрады.

             Ананимность(құпиялық). Қызметті идентификация қолданушының қолдануынсыз-ақ орындауға мүмкіндік береді. Ол субъект және объект түрінеде беріледі. Құпиялылық толық немесе тандалған болуы мүмкін. Кейбір кезде барлық операцияларға сәйкес болмауы мүмкін. Барлық қолданушыларға (мысалы: атқарушы қолданушы идентификациялық қолданушысыз-ақ қарастыра алады).

            Псевдонимность( лақап ат). Құпиялылықты ескереді, бірақ қолдану жолағында идентификатор қолданушының есептілігін және басқада мақсаттарда қолданады.

            Ассоциацияның мүмкінсіздігі. Жанұяны қамтамасыз ету үшін ақпараттық сервистерді, бірақ өзара ассоциоциялық қолданыс кезінде және белгілі біреуге баптаудан тұрады. Ассоциацияның мүмкінсіздігі қауіпсіздігі қолданушы профилдерінен құрылады( және, артынша, қажетті профилдерден ақпарат алу).

             Жасырын. Жанұяның талап ету мәліметінен ақпараттық сервис жасырын мағлұмат (факты) қолданады. Жасырын орындау үшін

( мысалы: кеңейтілген жан-жақты ақпарат, ешбір нақты мекен жай көрсетілмеген жасырын ұйымдастыру және стегнографиялық әдіс, хаттамалардың мағынасын жасыра алады)(криптография секілді).

            Тағы бір көрсеткіш бойынша класс функционалдық талап ету – «Қолданлған ресурстар» талап ету қол жетімділігінен тұрады. Олар өзіне үш түрді қосып алады.

            Қарсылық көрсетудегі тұрақтылық (отказоустойчивость). Бұл талап ету түрі қол жетімді ақпарат сервистерін кедергі қарсылық сәтте де ақпаратты сақтайды. Критери активті және пассивті болып келеді. Белсенді механизмі арнайы функцияларға ие, бұл белсенді функциялар кедергілерге төтеп береді. Ал пассивті тұрақсыздық қателіктерді жоюға мүмкіндік береді.

            Үстемділікке қызмет көрсету – бұл талап ету басқару ресурстарын төменгі үстемдік операцияларынан жоғары үстемдік операцияларын бір-біріне тәуелсіз түрде қолданады.

           Ресурстарды бөлу. Санкционирленбеген ресурстар монополиясын қорғау бағытын талап етеді. (квот механизм жолын қолдану арқылы).

           Көріп отырғанымыздай «Жалпы критери » - өте тиімді және толық мәлімет алуға мүмкіндік беретін функционалдық талап. Кейбір қателіктер мен жетіспеушіліктерге назар аударсақ.

            Бірінші атап өткеніміздей, бұл объектіге байланысты амалдың жоқтығы. Функционалдық талап екінші рет қолдануға болатын топтастырылған жиынтық. Программалық технологияға белгілі өте кең көлемді комбинациялық функционалдық компоненттер өзара үйлесімсіз.

            Жаңа заманғы программалауда жинақтау мен білімді үнемі пайдалану негізгі кілт болып табылады. Жалпы критеридің объектті әдіске емес, «кітапханалық» әдіске сүйенуі мөлшерленген білімнің айналымын және оның дұрыс қолдануын қиындатады.

             Өкінішке орай, «Жалпы критериларда» архитектуралық талап жоқ, сол себепті мұнда ескі программистік әдіс қолданылады. Технологиялық қауіпсіз құралдары - өте маңызды функцияларды, сонын ішінде қауіпсіздік функциясын сақтау үшін пайдаланылатын ақпараттық технологиялардың сапасы. Жүйенің интерфейстік аспектілерін қарастырмау олардың кеңейуіне қарсылық жасап, жабылуына септігін тигізеді. Бұл практикалық көз-қараспен сәйкес келмейді, сондықтан да интерфейстердің қауіпсіздігін қамтамасыз ету – бұл жеке шешілуі тиіс маңызды тапсырма болып табылады.

               Сенімді қауіпсіздік талаптары.

               Сенімді қауіпсіздікті құру, «Жалпы критериге » байланысты бағалау объектісін жоғары деңгейде зерттеуге негізделген. Сенімділік топтарының формасы функционалды талаптар сияқты болып келеді. Яғни бұлардың спецификациясы – сенімділік талаптарының әр бәр элементі төмендегі үш типтің біреуіне жатудан құрылады:

      Өндірушілердің әрекеті;

      Куәліктің мазмұны мен көрінісі;

      Бағалаушылардың әрекеті.

     «Жалпы критерилерде» сенімді қауіпсздік талаптарының 10 класы, 44 түрі, 93 компоненті бар.

          Кластар:

      Өңдеу (қысқа спецификациядан өткізуге дейінгі қауіпсіздік функцияларының деңгейлік бөлінуі үшін талаптар);

      Өмірлік циклды ұстау (өмірлік циклдің моделіне, сонымен қатар қателіктерді жою мен өңдеу ортасын қорғау талаптары);

      Тестілеу;

      Сенімділікті бағалау (қауіпсіздік функциясының тұрақтылығын бағалау);

      Жеткізу және іске қосу;

      Конфигурацияны басқару;

      Басшылар (эксплутациялық құжаттардағы талаптар);

      Сенімді сақтау (сертификациядан кейінгі өмірлік цикл бөлімдерін сақтау);

      Қорғау профилін бағалау;

      Қауіпсіздік бойынша тапсырмаларды бағалау.

                 Сенімді талаптарға сенім деңгейін бағалау (олар жеті деңгейден тұрады) жолдары енгізілген. Олар компоненттердің мағыналы комбинациясынан құрылады.

             1(бастапқы) – сенім бағалау деңгейі функционалды спецификацияны интерфейстің спецификациясын талдау мен эксплутациялық құжаттар, сонымен қоса тәуелсіз тестілеуді қарастырады. Бұл деңгей қауіпті қатерлі деп танылмағанда пайдаланылады.

           2 – сенімді бағалау деңгейі, бірінші деңгейге қосымша, бағалау объектісінің жоғары деңгейлі жобасын, таңдамалы тәуелсіз тестілеуді, қауіпсіздік функциясының тұрақтылығын талдауды қарастырады.

          3 – деңгейде өңдеу ортасын қадағалау мен бағалау объектісінің конфигурациясын басқару жүргізіледі.

          4 – деңгейде интерфейстердің толық спецификациясы қосылады, олар: төменгі деңгей жобалары, көптеп өткізуді талдау, қауіпсіздік саясатында сәйкессіз модельді қолдану, қателерді талдау, конфигурацияны басқаруды автоматтандыру. Бұл қазіргі технологиялық программалауда қол жеткізуге болатын ең жоғарғы деңгей болуы мүмкін.

         5 – деңгей қауіпсіздік саясатына сәйкес моделбді пайдалануды, жартылай сәйкес функционалды спецификация мен жобалаудың жоғарғы деңгейін сәйкестендіру көрсетумен өзара қолданысын қарастырады.

         6 – деңгейде өткізу құрастырылған түрде көрсетілуі қажет. Сәйкестілік талдамы төменгі деңгей жобасында қарастырылады.

7 – (ең жоғарғы) бағалау деңгейі, бағалау объектісінің сәйкес верфикациялық жобасын көрсетеді. Ол өте жоғары тәуекелді (қатерлі) жағдайларда қолданылады.

2.2  Желілік конфигурация үшін «Қызыл сары кітаптың» интерпретациясы

                Еуропалық елдердің «Г» критерилері. (Г гармонизировать).

      «Г» критерилері  1.2 нұсқасына негізделген бұл нұсқа 1991 жылы Франция, Германия, Нидерланды және Ұлыбритания елдерінде алғаш жарияланған.

           Еуропалық критеридің маңызды белгісі – ақпараттық жүйе қызмет ететін жағдайларда талаптардың болмауы. Сертификацияланған қызметке сұраныс жасаған ұйым бағалаудың мақсатың құрайды, яғни жүйе жұмыс жасауға тиіс жағдайда, оның қауіпсіздігіне қауіпті және одан қорғау функцияларын көрсетеді. Сертификациялық органның міндеті – алға қойылған мақсаттардың қаншалықты толық орындалуын бағалау, яғни архитектураның сапасы мен дұрыстылығын және қауіпсіздік механизмінің сұраныс жасаған ұйым талаптарына қаншалықты сәйкестілігін бағалау. Сондықтанда «Қызыл сары кітаптің» терминологиясында Еуропалық критерилер жүйенің кепілдендірілген қауіпсіздік жұмысына жатады. Қауіпсіздік саясаты мен қорғау механизмі.

            Міне қойылатын талаптар критерилердің құрамдық бөлігі болып табылмайды. Бағалаудың мақсатын жеңілдету үшін критерилерде басқару және коммерциялық жүйелердегі сияқты функционалдықтың он класы қосымша ретінде пайдаланылады.