Профиль защиты - Protection Profile

А Профиль защиты (PP) является документом, используемым в процессе сертификации в соответствии с ISO / IEC 15408 и Общие критерии (CC). Как общая форма Цель безопасности (ST), он обычно создается пользователем или сообществом пользователей и предоставляет независимую от реализации спецификацию обеспечение информации требования безопасности. ПЗ представляет собой комбинацию угроз, целей безопасности, предположений, функциональных требований безопасности (SFR), требований обеспечения безопасности (SAR) и обоснований.

ПЗ определяет общие критерии оценки безопасности для обоснования заявлений поставщиков о данном семействе продуктов информационных систем. Среди прочего, в нем обычно указывается Уровень гарантии оценки (EAL), число от 1 до 7, указывающее на глубину и строгость оценки безопасности, обычно в форме подтверждающей документации и тестирования, что продукт соответствует требованиям безопасности, указанным в PP.

В Национальный институт стандартов и технологий (NIST) и Национальное Агенство Безопасности (NSA) согласились сотрудничать в разработке проверенных НАС. правительство Пп.

Цель

ПЗ строго устанавливает проблему безопасности для данной совокупности систем или продуктов, известную как цель оценки (ОО), и определяет требования безопасности для решения этой проблемы, не диктуя, как эти требования будут реализованы. ПЗ может унаследовать требования от одного или нескольких других ПЗ.

Чтобы продукт был оценен и сертифицирован в соответствии с CC, поставщик продукта должен определить Цель безопасности (ST), которые могут соответствовать одному или нескольким PP. Таким образом, ПЗ может служить шаблоном для ЗБ продукта.

Проблемные зоны

Хотя EAL проще всего сравнивать непрофессионалам, его простота обманчива, поскольку это число бессмысленно без понимания последствий для безопасности ПЗ и ЗБ, используемых для оценки. Технически сравнение оцененных продуктов требует оценки как EAL, так и функциональных требований. К сожалению, интерпретация последствий PP для предполагаемого приложения требует очень сильного опыта в области ИТ-безопасности. Одно дело - оценить продукт, а совсем другое - решить, подходит ли оценка CC продукта для конкретного приложения. Не очевидно, какое из доверенных агентств обладает глубокими знаниями в области ИТ-безопасности, необходимыми для оценки системы применимость продуктов, оцениваемых по Common Criteria.

Проблема применения оценок не нова. Эта проблема была решена несколько десятилетий назад в рамках масштабного исследовательского проекта, в ходе которого были определены программные функции, которые могут защитить информацию, оценена их сила и сопоставлены функции безопасности, необходимые для конкретных рисков операционной среды. Результаты были задокументированы в Радуга серии. Вместо разделения EAL и функциональных требований Оранжевая книга следовали менее продвинутому подходу, определяя возможности функциональной защиты и соответствующие требования доверия как единую категорию. Таким образом были определены семь таких категорий. Далее Желтая книга определила матрицу сред безопасности и оценила риск каждой из них. Затем он точно установил, какая среда безопасности действительна для каждой из категорий оранжевой книги. Такой подход позволил создать однозначную книгу рецептов непрофессионала о том, как определить, можно ли использовать продукт в конкретном приложении. Утрата этой прикладной технологии, похоже, была непредвиденные последствия замены Оранжевой книги Общими критериями.

Охранные устройства с ПП

Утвержденный государственный ПП США

  • Антивирус
  • Восстановление ключа
  • Управление сертификатами
  • Токены
  • СУБД
  • Межсетевые экраны
  • Операционная система
  • IDS / ч

Подтвержденный неамериканский государственный ПЗ

  • Смарт-карты
  • Системы дистанционного электронного голосования[1]
  • Надежная среда выполнения[2]

внешняя ссылка

Рекомендации

  1. ^ М. Волкамер (2009). Оценка электронного голосования (Глава 8). Springer. ISBN  978-3-642-01661-5. Архивировано из оригинал на 03.02.2013.
  2. ^ https://www.commoncriteriaportal.org/files/ppfiles/anssi-profil_PP-2014_01.pdf