Informatyczne produkty sprzętowe, oprogramowanie oraz systemy o zadanym poziomie uzasadnionego zaufania Hardware, software and systems with claimed assurance level
Artykuł dotyczy zagadnień związanych z konstruowaniem i oceną zabezpieczeń wbudowywanych w dowolne produkty lub systemy informatyczne. Zabezpieczenia te dotyczą funkcji użytkowych i powinny się cechować tak zwanym uzasadnionym zaufaniem, utożsamianym potocznie z wiarygodnością. Przedstawiona w artykule metodyka Common Criteria, opisana w standardzie ISO/IEC 15408, jest podstawową metodyką kreowania uzasadnionego zaufania dla zabezpieczeń informatycznych. Metodyka obejmuje trzy główne procesy. W procesie konstruowania zabezpieczeń, na podstawie różnego typu analiz bezpieczeństwa, wypracowywany jest specjalny dokument zwany zadaniem zabezpieczeń, który stanowi zbiór wymagań bezpieczeństwa - funkcjonalnych (jak zabezpieczenia mają działać) i uzasadniających zaufanie (jaką wiarygodnością mają być one obdarzane). Drugi proces dotyczy konstruowania produktu lub systemu informatycznego oraz opracowania jego dokumentacji, która stanowi rozwinięcie wspomnianego zadania zabezpieczeń. Dokumentacja ta pełni rolę materiału dowodowego w trzecim procesie - w procesie niezależnej oceny zabezpieczeń, który powinien doprowadzić do uzyskania certyfikatu. Dzięki zastosowanemu rygorowi konstruowania oraz niezależnej i wnikliwej ocenie, produkty certyfikowane są uznawane za bardziej wiarygodne, a przez to szczególnie predysponowane do zastosowań obarczonych podwyższonym poziomem ryzyka.
The paper deals with the issues related to the development and evaluation of security functions embedded into IT products and systems. These functions relate to utility functions of the products or systems and should have the so called assurance, commonly understood as reliability. The Common Criteria methodology presented in this paper, described in the ISO/IEC 15408 standard, is the basic methodology to create assurance for IT security. The methodology comprises three major processes. During the security development process, based on different types of security analyses, a document called Security Target is developed. This document is a set of security requirements - functional requirements (how the security functions should work) and assurance requirements (what their reliability should be like). The second process is related to the development of an IT product or system, along with documentation which is a supplement to the above mentioned Security Target. The documentation serves as evidence material in the third process - the process of independent security evaluation which should lead to obtaining a certificate. Thanks to the applied development rigour, as well as independent and thorough evaluation, certified products are recognized as more reliable, thus especially predisposed for high-risk applications.
Ta witryna wykorzystuje pliki cookies do przechowywania informacji na Twoim komputerze. Pliki cookies stosujemy w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Twoim komputerze. W każdym momencie możesz dokonać zmiany ustawień dotyczących cookies
Informacja
SZANOWNI CZYTELNICY!
UPRZEJMIE INFORMUJEMY, ŻE BIBLIOTEKA FUNKCJONUJE W NASTĘPUJĄCYCH GODZINACH:
Wypożyczalnia i Czytelnia Główna: poniedziałek – piątek od 9.00 do 19.00
