Information technology. Security techniques. Methodology for it security evaluation

Скачать 5.52 Mb.

Название	Information technology. Security techniques. Methodology for it security evaluation
страница	53/57
Дата публикации	19.04.2015
Размер	5.52 Mb.
Тип	Документы

100-bal.ru > Информатика > Документы

1 ... 49 50 51 52 53 54 55 56 57

A.7.2.3 ATE_IND

В замечаниях по применению для ATE_IND "Независимое тестирование" рекомендуется тестировать известные из общедоступных источников слабые места, которые могли бы иметься у ОО. Такие слабые места, которые дают основу для намерения исказить или обойти ФБО, необходимо рассматривать только тогда, когда идентифицирована подобная угроза.

А.8 Стойкость функций безопасности и анализ уязвимостей

Сравнение показывает, что между анализом стойкости функций безопасности ОО и анализом уязвимостей имеются как существенное сходство, так и существенные различия.

Существенное сходство основано на использовании потенциала нападения. Для обоих видов анализа оценщик определяет минимальный потенциал нападения, требуемый нарушителю, чтобы осуществить нападение, и приходит к заключению относительно возможностей ОО противостоять нападению. В таблицах А.1 и А.2 показаны и далее описаны взаимосвязи между этими видами анализа и потенциалом нападения.

Таблица А.1 - Анализ уязвимостей и потенциал нападения

Компонент анализа уязвимостей	ОО противостоит нарушителю с потенциалом нападения	Остаточные уязвимости способен использовать только нарушитель с потенциалом нападения
VLA.4	Высокий	Неприменимо - успешное нападение за пределами практически возможного
VLA.3	Умеренный	Высокий
VLA.2	Низкий	Умеренный

Таблица А.2 - Стойкость функции безопасности ОО и потенциал нападения

Уровень СФБ	Адекватная защита от нарушителя с потенциалом нападения	Недостаточная защита от нарушителя с потенциалом нападения
Высокая СФБ	Высокий	Неприменимо - успешное нападение за пределами практически возможного
Средняя СФБ	Умеренный	Высокий
Базовая СФБ	Низкий	Умеренный

Существенные различия между этими видами анализа основаны на природе функции безопасности ОО, а также на характере нападения. Анализ стойкости функции безопасности ОО выполняют только для функций безопасности, реализуемых вероятностными или перестановочными механизмами, за исключением тех из них, которые основаны на криптографии. Более того, при анализе предполагается, что вероятностный или перестановочный механизм безопасности реализован безупречно и что функция безопасности используется при нападении с учетом ограничений ее проекта и реализации. Как показано в таблице А.2, уровень СФБ также отражает нападение, описанное в терминах потенциала нападения, для защиты от которого спроектирована функция безопасности, реализуемая вероятностными или перестановочными механизмами.

Анализ уязвимостей применяют ко всем некриптографическим функциям безопасности ОО, включая те из них, механизмы реализации которых, по своей природе, являются вероятностными или перестановочными. В отличие от анализа стойкости не делается никаких предположений относительно корректности проекта и реализации функции безопасности, а также не налагается ограничений на метод нападения или взаимодействие нарушителя с ОО - если нападение возможно, то оно рассматривается в процессе анализа уязвимостей. Как показано в таблице А.1, успешная оценка в соответствии с компонентом доверия, связанным с анализом уязвимостей, отражает уровень угрозы, описанный в терминах потенциала нападения, для защиты от которого спроектированы и реализованы все функции безопасности ОО.

Общее использование понятия потенциала нападения устанавливает связь между утверждениями о СФБ и оценками уязвимостей, но эту связь не следует рассматривать в качестве обязательной привязки утверждения об уровне СФБ и компонента доверия, выбранного из семейства AVA_VLA "Анализ уязвимостей". Например, выбор компонента AVA_VLA.2 "Независимый анализ уязвимостей", который содержит требование о стойкости к нарушителю с низким потенциалом нападения, не сводит выбор оценки СФБ к базовой СФБ. Учитывая, что уязвимость неотъемлемо присутствует в любой функции, реализованной вероятностным или перестановочным механизмом, и что такие функции являются обычно видимыми свойствами общедоступного интерфейса (например, пароль), автор ПЗ/ЗБ может потребовать более высокого уровня стойкости к соответствующим нападениям и может выбрать более высокий уровень СФБ. Минимальное требование к СФБ как "базовая СФБ" необходимо всегда, когда заявлен компонент из семейства AVA_SOF "Стойкость функций безопасности ОО". Заявленный компонент семейства "Анализ уязвимостей" (AVA_VLA) устанавливает нижний уровень требований к СФБ, и, например, требование к СФБ "базовая СФБ" следует рассматривать как не соответствующее выбору компонента AVA_VLA3 "Умеренно стойкий".

1 ... 49 50 51 52 53 54 55 56 57

Похожие:

	Internet Security Systems 28 2 решение от SurfControl 30 3 решение		Пути совершенствования финансовой безопасности the ways of improving financial security И наступил тот месяц, и пришел тот день, и настал тот час, и свершилось событие, в которое многие верили…
	«Право социального обеспечения» «Social Security Law» ...		Программа учебной дисциплины Актуальные проблемы безопасности и разоружения... Рецензенты: к полит наук Елена Борисовна Павлова, к полит наук Татьяна Алексеевна Романова
	Реферат: «Атаки, основанные на ip-фрагментации» Реферат: «Атаки, основанные на ip-фрагментации», Пшевский Д. А., Гип 101, rfc 1858 Security Considerations for ip fragment Filtering:...		Экзаменационные вопросы по дисциплине «Информационные системы управления... Производственное предприятие. Производственная компания. Eis (Enterprise information system) и mis (Management information system)...
	Программа по формированию навыков безопасного поведения на дорогах... Ваш ответ: Home reading lessons have different objectives for me as a teacher. Teach my students to gather information, to follow...		System of standards on information, librarianship and publishing.... Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов....
	Joyce, James Augustine Aloysius (1882-1941), Irish novelist and poet,...		Патентам и товарным знакам (19) М.: гэотар, Медицина, 1998, с. 202-203. Ru 2238670 С1, 27. 10. 2004. Ua 1 1622 U, 16. 01. 2006. Лекманов а. Определение объема циркулирующей...
	Institute for Information Transmission Problems ras		Aim: to get new information about Robert Burns and his poetry
	Урок английского языка по теме «Путешествие в Лондон», 6 класс ...		Historical digression creation of mmwt kovert technology Программа отборочного этапа конкурса на получение подрядов на выполнение проектных и строительных работ
	Poqutec (Power Quality and Technology), Ltd Эксклюзивные представители Финской компании на Территории России, по поставке Гриль-домиков и Гриль-беседок		There is no national science just as there is no national multiplication... А. Kozhevnikova, Assoc. Prof of the Department of English for Humanities (Samara State University), Member of Board of Experts for...

Школьные материалы