Himoya profillarini ishlab chiqish HP ni ishlab chiquvchi har qanday yuridik yoki jismoniy bo'lishi mumkin . HP manfaatdor tashkilotlarning buyurtmasi bo'yicha faol ravishda ishlab chiqilishi mumkin
Xavfsizlik profilida quyidagilar bo'lishi kerak:
AT mahsulotlarini taqdim etishda foydalanuvchilarning ehtiyojlari tavsifi
xavfsizlik;
matn tarkibiga aniqlik kiritgan holda, AT mahsulotining xavfsizligini tavsiflash
ekologik tahdidlarni hisobga olgan holda xavfsizlikka bo'lgan ehtiyojlar, siyosat
xavfsizlik va taxminlar;
Atrof-muhit tavsifiga asoslangan IT-mahsulotlar xavfsizligi maqsadlari
xavfsizlik va qanday va qayerda ekanligi haqida ma'lumot berish
xavfsizlik ehtiyojlarini qondirish darajasi.
Xavfsizlik maqsadlari orqali nima bo'lishi kerakligini ko'rsatish kerak.
Funktsional xavfsizlik talablari va ishonch talablari
-xavfsizlik xavfsizlik maqsadlariga erishishni ta'minlashi kerak;
- funktsional talablar va talablarni ko'rsatadigan mantiqiy asos
-xavfsizlikka bo'lgan ishonchni qondirish uchun yetarli;
AT mahsulotidan foydalanuvchilarning unga bo'lgan aniq ehtiyojlari.
Xavfsizlik vazifasi tarkibi
STlarning tarkibi RChning 1-ilovasiga muvofiq
Rossiya Davlat texnik komissiyasi "Axborot xavfsizligini baholash mezonlari
texnologiyasi ”va B1 jadvalida keltirilgan.
B1 Jadval
1. STni kiritish
1.1. ST identifikatsiyasi
1.2. ST referati
2. IT mahsulotining tavsifi
3. IT mahsulot xavfsizligi muhiti
3.1. Xavfsizlik taxminlari
3.2. Tahdidlar
3.3. Tashkilotning xavfsizlik siyosati
4. Xavfsizlik maqsadlari
4.1. AT xavfsizligi maqsadlari
4.2. IT mahsulotlari muhiti uchun xavfsizlik maqsadlari
5. IT-mahsulot uchun xavfsizlik talablari
5.1. AT mahsulotlari xavfsizligi funktsional talablari
5.2. Mahsulot xavfsizligiga ishonch talablari
5.3. IT mahsulotlari muhiti uchun xavfsizlik talablari
6. IT mahsulotining qisqacha tavsifi
6.1. IT mahsulot xavfsizligi xususiyatlari
6.2. Xavfsizlikka ishonch choralari
ST kirish qismida ST va IT mahsuloti (shu jumladan) aniqlanadi.
"IT mahsulotining tavsifi" da ST bo'limi ham bo'lishi kerak.
IT mahsuloti baholanishi kerak bo'lgan konfiguratsiya tavsifini o'z ichiga oladi."IT mahsulot xavfsizligi muhiti" ning XT bo'limida tavsif mavjud. Ko'rib chiqilishi kerak bo'lgan AT mahsulotining xavfsizlik muhiti jihatlari XTning xavfsizlik maqsadlari bo'limining xulosasi kiritilgan.
Shunday qilib, AT mahsuloti bajarishi kerak bo'lgan xavfsizlik maqsadlari
va bajarilishi kerak bo'lgan xavfsizlik maqsadlari nuqtai nazaridan "Axborot texnologiyalari mahsulotlarining xavfsizligi talablari" ST bo'limiga quyidagilar kiradi:
AT mahsulotlari xavfsizligi funktsional talablari, ularga bo'lgan ishonch talablari
xavfsizlik shuningdek, AT mahsulotining dasturiy ta'minoti, apparat va dasturiy ta'minotining xavfsizlik talablari.
IT mahsuloti tomonidan amalga oshiriladigan va tegishli bo'lgan AT xavfsizligi xususiyatlari xavfsizlikning belgilangan funktsional talablari va belgilangan har qanday xavfsizlikni ta'minlash choralari xavfsizlikka bo'lgan talablardir.
XTning ST asosini yaratish ST tomonidan amalga oshiriladi.
HPda joylashgan joyda XTni qo'shishda sizgd o'lcham bo'lishi mumkin.Xabarlaridagi tarkibdan o'rganish va XTning ixtiyoriy bo'limlari ( yoki kichik bo'limlari) bundan mustasno.
Himoya profilining kontseptsiyasi
Muayyan vositalar va axborot tizimlari uchun xavfsizlik talablari xavfsizlik siyosatiga va ushbu vositalardan (tizimlardan) foydalanish shartlariga muvofiq mavjud yoki prognoz qilinadigan tahdidlar asosida o'rnatiladi. Ba'zi bir mahsulotlar yoki axborot tizimlari uchun umumiy bo'lgan talablar xavfsizlik profillari deb nomlangan tuzilishga birlashtirilishi mumkin. GOST R ISO / IEC 15408-3-2002 ga muvofiq "Axborot texnologiyalari. Xavfsizlik usullari va vositalari. Axborot texnologiyalarining xavfsizligini baholash mezonlari." Himoya profili (PP) - bu ma'lum mijozlar talablariga javob beradigan IT mahsulotlarining ma'lum bir toifasini amalga oshirish uchun mustaqil bo'lgan xavfsizlik talablari to'plami. .
IT mahsuloti - ma'lum bir funktsionallikni ta'minlaydigan va turli xil IT tizimlariga to'g'ridan-to'g'ri foydalanish yoki kiritish uchun mo'ljallangan dasturiy ta'minot, apparat yoki AT ning birikmasi.
IT mahsuloti - bu IT mahsulotlari va tizimlari uchun umumiy atama.HP ushbu talablar qanday bajarilishini tartibga solmaydi va shu bilan xavfsizlik tizimini ishlab chiquvchiga o'ziga himoya vositalarini tanlash imkoniyatini beradi. HPni mahsulotlarning muayyan sinfiga, masalan, operatsion tizimlarga yoki xavfsizlik devorlariga va axborot texnologiyalari tizimini tashkil etadigan mahsulotlar to'plamiga (masalan, virtual xususiy tarmoqlar, PKI) nisbatan qo'llash mumkin. Himoya profillaridan foydalanish uchta asosiy maqsadga ega:
axborot mahsulotlariga talablar to'plamlarini standartlashtirish;
xavfsizlikni baholash;
turli xil AT mahsulotlarining xavfsizlik darajasini qiyosiy tahlil qilish.
PPlar Rossiya FSTEC ning boshqaruv hujjatlariga muvofiq baholanishi, ro'yxatga olinishi va sertifikatlanishi kerak.
HPni ishlab chiquvchi yuridik va jismoniy shaxs bo'lishi mumkin.
HP tarkibida quyidagilar bo'lishi kerak:
Axborot xavfsizligi uchun AT mahsulotidan foydalanuvchi ehtiyojlari;
AT mahsulotining xavfsizlik muhiti tavsifi - atrof-muhit tahdidlarini, xavfsizlik siyosatini va boshqalarni hisobga olgan holda ushbu ATdan foydalanishning haqiqiyligi.
IT mahsulotining xavfsizligini ta'minlash maqsadlari - ya'ni ushbu ATdan foydalanish natijasida nima qilinishi kerak;
Funktsional xavfsizlik talablari va xavfsizlikka bo'lgan ishonch talablari. Funktsional talablar AT va uning muhiti bajarishi kerak bo'lgan narsani aks ettiradi va xavfsizlikka bo'lgan ishonch talablari ushbu AT funktsional imkoniyatlariga ishonch darajasini aks ettiradi. Ushbu talablarning kombinatsiyasi xavfsizlik maqsadlariga erishishni ta'minlashi kerak;
Xavfsizlik talablari IT mahsulotining xavfsizlik sinfiga bog'liq, bu o'z navbatida ma'lumotlarning ahamiyatiga, potentsial tahdidlarga, hozirgi vaqtda tegishli xavfsizlik vositalarini ishlab chiqishga va ushbu AT mahsulotining xavfsizligini baholash uchun sarflanadigan vaqtga bog'liq. IT mahsulotining xavfsizlik sinfiga qarab xavfsizlik talablarini aniqlash uchun Rossiya Davlat texnik komissiyasining "Xavfsizlik profillarining oilalarini rivojlantirish bo'yicha ko'rsatmalar" qo'llanmasidan foydalanish kerak.
HP ni identifikatsiya qilish aniq belgilash va HPni ro'yxatdan o'tkazish uchun zarur bo'lgan markirovka va tavsiflovchi ma'lumotlarni taqdim etishi kerak.
Referat HPning umumiy tavsifini berishi va tavsiflovchi shaklga ega bo'lishi kerak. Shu bilan birga, potentsial foydalanuvchi ushbu HPdan foydalanishi kerakligini aniqlash uchun yetarli darajada to'liq bo'lishi kerak.
IT Mahsulot tavsifi bo'limida uning maqsadi va xavfsizlik talablarini tushuntirish uchun IT-mahsulotlar to'g'risidagi ma'lumotlar hamrohlik qiladi.
HPning "AT mahsulotlarining xavfsizligi muhiti" bo'limida AT mahsulotining xavfsizlik muhiti aspektlarining tavsifi: xavfsizlik to'g'risidagi taxminlar, potentsial tahdidlar va tashkilotning xavfsizlik siyosati mavjud. Xavfsizlik taxminlari mahsulot ishlatiladigan muhitni tavsiflaydi:
Xavfsizlik maqsadlari aniq tahdidlarga qarshi turish niyatini aks ettirishi va xavfsizlik siyosatiga muvofiq bo'lishi kerak.
«IT mahsulot xavfsizligiga talablar» bo'limida AT mahsulotining xavfsizligi uchun funktsional talablar, xavfsizlikka ishonch talablari va AT mahsulotining AT-muhitining dasturiy ta'minoti, dasturiy ta'minoti va apparati uchun xavfsizlik talablari mavjud.
HPning "HPdan foydalanish to'g'risidagi sharhlar" bo'limida HP ishlab chiquvchisi foydali deb hisoblagan har qanday qo'shimcha ma'lumotlar bo'lishi mumkin. Ilova eslatmalari HP ning tegishli bo'limlarida tarqatilishi mumkin .
Ratsionalizatsiyalashgan PP bo'limi HP ushbu mahsulotga xavfsizlik talablarining to'liq va o'zaro bog'liq to'plamini va tegishli AT mahsuloti xavfsizlik muhitining aniqlangan jihatlarini hisobga olishini namoyish etadi. "Asoslash" bo'limi alohida hujjat sifatida rasmiylashtirilishi mumkin.
Sertifikat PP - HPning "Axborot texnologiyalari xavfsizligini baholash mezonlari" qo'llanma 3 qismining 4 bo'limida keltirilgan mezonlarga muvofiqligini tasdiqlovchi hujjat. HP ni baholashning maqsadi aniq HP ning to'liqligi, izchilligi va texnik ishonchliligini ko'rsatishdir. Baholash natijalarining muvofiqligini oshirish uchun uning natijalari sertifikatlashtirish uchun taqdim etilishi mumkin. Sertifikatlashtirish - bu baholash natijalarini mustaqil tekshirish, natijada ularni tasdiqlash yoki sertifikat berish bilan yakunlanadi. Sertifikat to'g'risidagi ma'lumotlar odatda e'lon qilinadi va ommaga taqdim etiladi.
Himoyalash profilini ro'yxatdan o'tkazish
Himoya profilini va uni baholashni (sertifikatlashni) tuzgandan so'ng, u Rossiya Davlat texnik komissiyasining "Axborot texnologiyalari xavfsizligi. Himoya rejimlarini ro'yxatdan o'tkazish bo'yicha ko'rsatmalar" ga muvofiq ro'yxatdan o'tkazilishi kerak. Ushbu hujjat nafaqat HPni, balki paketlarni ham ro'yxatdan o'tkazish tartibini belgilaydi. Paket - bu xavfsizlikning aniq maqsadlariga erishish uchun birlashtirilgan funktsional komponentlar yoki ishonchli komponentlarning qayta ishlatiladigan to'plami [25]. Ro'yxatga olish natijasida, PP (yoki paket) uni maxsus registrda yagona identifikatsiya qiladigan ro'yxatga olish yorlig'ini oladi. Ro'yxatdan o'tish - ro'yxatga olish belgilarini, shuningdek tegishli qo'shimcha ma'lumotlarni o'z ichiga olgan yozuvlar to'plami (elektron yoki elektron va qog'oz shaklida) Har bir ro'yxatga olish yozuvi chiziqcha bilan ajratilgan uchta qismdan iborat:
registr elementining turi;
ro'yxatdan o'tgan yili;
ro'yxatga olish raqami.
Ro'yxatdan o'tish yozuvining turi uchta qiymatga ega bo'lishi mumkin:
-"PZ" - himoya profil uchun;
-Ishonch talablari to'plami uchun "PD";
-"FP" - funktsional paket uchun.
-Ro'yxatdan o'tish yili - element ro'yxatdan o'tgan yil (to'rtta raqam).
-Ro'yxatdan o'tish raqami - joriy yilda seriya raqami (uchta raqam).
Masalan: PZ-2010-005.
HPni ro'yxatdan o'tkazish uchun ariza beruvchi ro'yxatdan o'tish organiga (PR) ariza yuborishi kerak. Arizada quyidagi ma'lumotlar bo'lishi kerak:tashkilotning nomi (agar ariza beruvchi yuridik shaxs bo'lsa) yoki to'liq nomi (agar ariza beruvchi jismoniy shaxs bo'lsa) va aloqa ma'lumotlari. Aloqa ma'lumotlari pochta manzili yoki elektron pochta manzilini, telefon yoki faks raqamini o'z ichiga olishi kerak.
Taqdim etilgan ob'ektni yangi deb belgilash yoki registrda mavjud elementni almashtirish. Agar ob'ekt almashtirilsa, olib tashlanishi yoki o'zgartirilishi kerak bo'lgan elementlarning ro'yxatga olish belgilarini ko'rsatishingiz kerak.
O'zgartirilgan elementlarni qabul qilgandan so'ng, ular o'z elementlarini yo'q qilishga rozilik berganliklari to'g'risida ariza beruvchilardan tasdiqlash kerak bo’ladi.
Ro'yxatdan o'tish uchun taqdim etilgan HP yoki paketning tavsifi ro'yxatga olish bo'yicha qo'llanma talablariga javob beradi.
O'z navbatida arizani rad etadi (agar u ma'lumotlarning to'liq ro'yxatini olmasa) yoki ro'yxatdan o'tish yorlig'ini tayinlaydi va "muvofiqlikni tasdiqlash" maqomi bilan ro'yxatdan o'tkazuvchiga kiradi. Ushbu protseduraning natijasi keyin arizachiga xabar qilinadi. Dastlabki ishlov berish ariza qabul qilinganidan keyin 14 kundan oshmasligi kerak. Shundan so'ng, PR dasturda berilgan tavsifni tekshiradi. Agar biron-bir kamchilik yoki nomuvofiqliklar aniqlansa, PR ariza beruvchini xabardor qiladi va u 14 kun ichida tuzatishlar kiritishi kerak. Muvofiqlikni tasdiqlash tartibi ro'yxatdan o'tish uchun ariza olingan kundan boshlab 3 oy ichida bajarilishi kerak.