Add to collection(s) Add to saved
  1. No category

ВРЕМЕННЫЕ ГРАФ-СХЕМЫ МОДЕЛИ ОЦЕНКИ

advertisement 
ВРЕМЕННЫЕ ГРАФ-СХЕМЫ МОДЕЛИ ОЦЕНКИ БЕЗОПАСНОСТИ
ОБЪЕКТОВ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
В.И. Стецюренко1, Н.Н. Уласюк2
1
Минск, ОИПИ НАН Беларуси;
2
Минск, БНТУ
В настоящее время в Республике Беларусь и Российской Федерации активно
формируется нормативно-методическая и нормативно-документальная базы оценки
безопасности продуктов и систем (далее объектов) методом активного исследования –
проведением сертификационных испытаний на методологической основе Общих критериев.
Базовым стандартом для разработки нормативных документов по оценке безопасности объектов информационных технологий (ИТ) является СТБ П 34.101.5-2003,
применяемый совместно с СТБ 34.101.1-3. Общая модель оценки безопасности
(СТБ П 34.101.5-2003) предопределяет основные принципы и способы проведения
оценки и включает в себя, в том числе, методы оценки - описание действий, которые
должен выполнить эксперт для подтверждения соответствия заявленных функциональных и гарантийных фактически реализованным в объекте оценки требованиям безопасности.
Подтверждение гарантии безопасности объекта оценки обеспечивается проведением испытаний на соответствие уровням гарантии оценки (УГО). Однако модель
оценки не предписывает никакой конкретной схемы оценки, в то же время, от степени
ее рациональности зависит продолжительность и стоимость процесса оценки. В связи с
этим, исследование методических подходов к разработке схемы оценки является актуальной задачей.
В докладе представлен один из таких подходов, основанный на временных графсхемах, сущность которого демонстрируется на примере оценки безопасности объекта
с УГО3. Задачи, операции и подоперации оценки безопасности объекта с УГО3 представлены на рис. 1.
Компоненты гарантийных требований УГО3 представлены в алфавитном порядке, однако между соответствующими компонентами имеются зависимости, которые
предопределяют невозможность выполнения операций и подопераций сверху вниз или
одновременно. Такая полная схема зависимостей между компонентами УГО3 представлена на рис. 2.
Из схемы следует, что только компоненты ADV_RCD.1, ALC_DVS.1 и
ATE_FUN.1 не имеют зависимостей и могут выполняться одновременно и независимо
на начальном этапе оценки. С учетом этих зависимостей схему оценки целесообразно
представить в виде временной граф-схемы (рис. 3), где показано, что выполнение экспертом действий по оценке компонента, имеющего зависимости, возможно только по
окончании оценки и получения результата по компонентам, от которого он имеет зависимости.
Представление действий эксперта в виде временной граф-схемы позволяет распараллеливать усилия экспертов и, следовательно, достичь существенного сокращения
продолжительности и стоимости оценки объектов ИТ. Имея граф-схемное представление компонентов УГО1 – УГО4 и разработав правила корректной композиции этих
представлений, можно в короткие сроки разрабатывать типовые и рабочие программы
и методики оценки безопасности объектов ИТ.
99
Обеспечение
испытаний
Оценка УГО3
Операция оценки ЗБ:
Операция оценки «Управл. конфигурацией»
Подоперация ACM_CAP.3
Подоперация ACM_SCP.1
Операция оценки «Поставка»
Подоперация ADO_DEL.1
Подоперация ADO_IGS.1
Заключительная задача оценки
Операция оценки «Разработка»
Начальная задача оценки
Подоперация ADV_FSP.1
Подоперация ADV_HLD.2
Подоперация ADV_RCR.1
Операция оценки РД
Подоперация AGD_ADM.1
Подоперация AGD_USR.1
Операция оценки ЖЦ
Подоперация ALC_DVS.1
Операция оценки «Тестирование»
Подоперация ATE_COV.2
Подоперация ATE_DPT.1
Подоперация ATE_FUN.1
Подоперация ATE_IND.2
Операция оценки «Уязвимость»
Подоперация AVA_MSU.1
Подоперация AVA_SOF.1
Подоперация AVA_VLA.1
ОН
Рис. 1. Задачи, операции и подоперации оценки УГО3
100
ТО
ADV «Разработка»
AVA «Оценка уязвимостей»
АТЕ «Тестирование»
FUN.1
RCR.1
MSU.1
COV.2
FSP.1
SOF.1
IND.2
HLD.2
VLA.1
DPT.1
AGD «Руководящие
документы»
ADM.1
USR.1
АСМ «Управление
конфигурацией»
CAP.3
ALC «Поддержка
Ж.Ц.»
DVS.1
SCP.1
Рис. 2. Полная схема зависимостей компонентов гарантии УГО3
ADO «Постановка…»
IGS.1
DEL.1
Компоненты
УГО3
ACM_CAP.3
ALC_DVS.1
ACM_SCP.1
ADV_RCR.1
ADV_FSP.1
ADV_HLD.2
AGD_ADM.1
AGD_USP.1
ADO_DEL.1
ADO_IGS.1
ATE_COV.2
ATE_FUN.1
ATE_DPT.1
ATE_IND.2
AVA_MSU.1
AVA_SOV.1
AVA_VLA.1
Время
Рис. 3. Временная граф-схема оценки на соответствие УГОЗ
Related documents
Мечты брахмана.
Мечты брахмана.
Баландин Василий Абрамович
Баландин Василий Абрамович
Vocabulary accept, v accurate, a achieve, v acid, n add, v additive
Vocabulary accept, v accurate, a achieve, v acid, n add, v additive
- Raimondi RU
- Raimondi RU
Ответы на задание заключительного этапа Олимпиады
Ответы на задание заключительного этапа Олимпиады
Download
advertisement