ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ВОПРОСАМ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ ГЕРМАНИИ (ФАБИТ) Адрес: Германия, 53175 Бонн, Аллея
Годесбергер, 183 А/я: Германия, 53133 Бонн, а/я 200363 Тел:
(0228) 9582-0 Факс: (0228) 9582-400 СЕРТИФИКАТЫ БЕЗОПАСНОСТИ
ФАБИТ Что должен знать пользователь КАКАЯ ПОЛЬЗА СЕРТИФИКАТА
БЕЗОПАСНОСТИ ФАБИТ ДЛЯ ПОЛЬЗОВАТЕЛЯ? Тематика| 2. Информацию
подготовил| Падун Н.Г. Дата подготовки информации| 10.05.96. УДК|
Используемая литература| Примечание| #b1275# ФЕДЕРАЛЬНОЕ
АГЕНТСТВО ПО ВОПРОСАМ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ГЕРМАНИИ (ФАБИТ) Адрес: Германия, 53175 Бонн, Аллея Годесбергер,
183 А/я: Германия, 53133 Бонн, а/я 200363 Тел: (0228) 9582-0
Факс: (0228) 9582-400 СЕРТИФИКАТЫ БЕЗОПАСНОСТИ ФАБИТ Что должен
знать пользователь КАКАЯ ПОЛЬЗА СЕРТИФИКАТА БЕЗОПАСНОСТИ ФАБИТ
ДЛЯ ПОЛЬЗОВАТЕЛЯ? Сертификат безопасности ФАБИТ свидетельствует о
таких качествах защищенной информационной техники: -достоверность
эффективности защиты. Достоверность достигается за счет точного
описания защитных функций продукта в связи с характерными
угрозами и наличия оценки того, в какой степени механизмы защиты
противостоят этим угрозам; -надежность. Надежность достигается
тестированием всех аспектов безопасности при разработке,
производстве, поставке и применении продукта в соответствиии с
Европейскими критериями безопасности информационных технологий
(ИТСЕК); -корректность применения. Корректность достигается
точным описанием порядка и области применения продукта. Также
описываются слабые места и даются указания, как можно избежать
негативных последствий. БЕЗОПАСНОСТЬ В АСПЕКТЕ ЭКОНОМИЧНОСТИ
Применение защищенной информационной техники существенно
экономически эффективнее, чем последующее осуществление мер
безопасности с целью компенсировать первоначальное отсутствие мер
защиты. Свидетельством разнообразия и специфичности защитных
функций информационной техники, качества защиты является
сертификат безопасности ФАБИТ. Требование пользователя к
изготовителю продукта о наличии такого сертификата подразумевает
то, что необходимые инвестиции для осуществления комплекса мер
защиты могут быть рассчитаны. При наличии сертификата
безопасности ФАБИТ защитные функции продукта могут быть реально
оценены и оптимально использованы в рамках концепции
безопасности. РИСКИ ПРИ ПРИМЕНЕНИИ ИНФОРМАЦИОННОЙ ТЕХНИКИ БЕЗ
СЕРТИФИКАТА БЕЗОПАСНОСТИ ФАБИТ НЕ МОГУТ БЫТЬ ОЦЕНЕНЫ Для
информационной техники характерны следующие угрозы:
ддддддддддддддддддддддддддддддддддддддддддддддддддддддд 0;1 - 2 -
- потеря конфиденциальности (например, несанкционированное
получение информации); - потеря целостности (например,
манипуляции с данными); - потеря функциональности (например,
потеря или разрушение данных). В случае реализованного нападения
эти угрозы могут привести: - к плохо просчитываемым расходам; - к
потере реноме фирмы; - к последовательным искам. Поэтому наличие
сертификата безопасности является существенным фактором
безопасного и эффективного использования информационной техники.
ИТСЕК - ЕВРОПЕЙСКИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ ИТСЕК является основой для тестирования защищенности
информационной техники. Защищенность определяется корректностью и
эффективностью механизмов защиты (в их числе аутентификация,
контроль доступа, механизм обеспечения безопасности передачи
данных). Короче: ЗАЩИЩЕННОСТЬ ЯВЛЯЕТСЯ ФУНКЦИЕЙ ЭФФЕКТИВНОСТИ И
КОРРЕКТНОСТИ КОРРЕКТНОСТЬ Уверенность в корректности
информационной техники зависит от глубины тестирования и качества
методик тестирования. ИТСЕК предусматривает 6 ступеней оценки
корректности - от Е1 до Е6: Уверенность в сильная правильном
функционировании зддддд зддддды зддддды зддддды
зддддды цддддды ступени слабая корректности
юдддддддддддддддддддддддддддддддддддддддддддддддд Е1 Е2 Е3 Е4 Е5
Е6 АСПЕКТЫ ТЕСТИРОВАНИЯ Критерии безопасности устанавливают
детализированные требования к: - продукту, 0;1 - 3 - - процессу
его разработки, - условиям его разработки, - документации на
продукт, - условиям функционирования продукта. (Описания ступеней
Е1 - Е6 имеются в докладе представителя ФАБИТ на выставке
CeBIT'96 Дитера Шенвальда "Сертификация информационных систем и
их компонентов в аспекте информационной безопасности", сборник
имеется в ГСТЗИ) ЭФФЕКТИВНОСТЬ Под эффективностью понимается
способность механизмов защиты противостоять характерным угрозам.
Эта способность называется стойкостью механизмов и может быть
охарактеризована одной из трех ступеней: низкая, средняя,
высокая. ОЦЕНКА ЗАЩИЩЕННОСТИ Чем выше требования пользователя к
безопасности, тем выше должна быть увереность в корректном
функционировании и стойкости против манипуляций. В следующей
таблице показаны разумные комбинации:
здддддддддддддрдддддддддбдддддддддддбдддддддддддддддддбдддддддддддд
Защищенность слабая удовлетво- хорошая - отличная
рительная очень хорошая
фмммммммммммммнмммммммммьмммммммммммьмммммммммммммммммьмммммммммммм
Корректность Е1 Е2 - Е3 Е4 - Е5 Е6
цдддддддддддддвдддддддддедддддддддддаддддддддбддддддддадддддддддддд
Стойкость низкая средняя высокая
юдддддддддддддпдддддддддаддддддддддддддддддддаддддддддддддддддддддды
ЗАКЛЮЧЕНИЕ О СЕРТИФИКАЦИИ В Заключении о сертификации: -
описываются защитные функции продукта в связи с характерными
угрозами; - указывается степень стойкости механизмов защиты; -
приводится степень уверенности в корректности функционирования
продукта (указывается Е-ступень); - приводятся требования к
инсталляции продукта и условиям его эксплуатации; - указываются
слабые места и соответствующие меры противодействия. ГДЕ МОЖНО
ОЗНАКОМИТЬСЯ С ЗАКЛЮЧЕНИЕМ О СЕРТИФИКАЦИИ ? Заключение о
сертификации продукта для ознакомления охотно предоставляется
изготовителем продукта. В отдельных случаях можно обращаться в
ФАБИТ. К заключению о сертификации прилагается сертификат
безопасности, в котором отражаются важнейшие аспекты
сертификации. 0;1 - 4 - ОБРАЗЕЦ СЕРТИФИКАТА ФАБИТ
здддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ВОПРОСАМ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГЕРМАНИИ СЕРТИФИКАТ
БЕЗОПАСНОСТИ Номер ФАБИТ-ИТСЕК-9999-2000
Сертифицированный продукт: ИТ-Гард Заявитель: фирма КоСС
Критерии: ИТСЕК, версия 1.2 Основание
сертификации: заявление о проведении сертификации от
01.01.19хх г. Способ доставки продукта: непосредственное
получение у изгото- вителя. Тип продукта: устройство
защиты ПК Результаты тестирования: функциональность -
класс функциональности F-C2; ступень оценки - Е3;
стойкость механизмов защиты (по крайней мере) - средняя
Ограничения: смотри указания и ограничения в заключении о сер-
тификации Примечание: настоящий Сертификат действителен
только при нали- чии Заключения о сертификации. Бонн
Президент ФАБИТ д-р Хенце
юдддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддды
(Классы функциональности описаны в докладе представителя ФАБИТ на
выставке CeBIT'96 Дитера Шенвальда "Сертификация информационных
систем и их компонентов в аспекте информационной безопасности")
Заказывайте брошюру ФАБИТ номер 7148 (в ГСТЗИ имеется в 4-х
экземплярах). В ней приведен обновленный список сертифицированных
продуктов с техническими данными и адресами изготовителей. ФАБИТ,
Второе Управление, третий отдел - "Отдел сертификации изделий и
программных продуктов" Почтовый ящик 20 03 63 D-53133 Бонн, Тел:
0228/9582-111 Факс:0228/9582-455 0;1 1.1 Сертификат безопасности
ФАБИТ свидетельствует о таких качествах защищенной информационной
техники: -достоверность эффективности защиты. Достоверность
достигается за счет точного описания защитных функций продукта в
связи с характерными угрозами и наличия оценки того, в какой
степени механизмы защиты противостоят этим угрозам; -надежность.
Надежность достигается тестированием всех аспектов безопасности
при разработке, производстве, поставке и применении продукта в
соответствиии с Европейскими критериями безопасности
информационных технологий (ИТСЕК); -корректность применения.
Корректность достигается точным описанием порядка и области
применения продукта. Также описываются слабые места и даются
указания, как можно избежать негативных последствий. БЕЗОПАСНОСТЬ
В АСПЕКТЕ ЭКОНОМИЧНОСТИ Применение защищенной информационной
техники существенно экономически эффективнее, чем последующее
осуществление мер безопасности с целью компенсировать
первоначальное отсутствие мер защиты. Свидетельством разнообразия
и специфичности защитных функций информационной техники, качества
защиты является сертификат безопасности ФАБИТ. Требование
пользователя к изготовителю продукта о наличии такого сертификата
подразумевает то, что необходимые инвестиции для осуществления
комплекса мер защиты могут быть рассчитаны. При наличии
сертификата безопасности ФАБИТ защитные функции продукта могут
быть реально оценены и оптимально использованы в рамках концепции
безопасности. РИСКИ ПРИ ПРИМЕНЕНИИ ИНФОРМАЦИОННОЙ ТЕХНИКИ БЕЗ
СЕРТИФИКАТА БЕЗОПАСНОСТИ ФАБИТ НЕ МОГУТ БЫТЬ ОЦЕНЕНЫ Для
информационной техники характерны следующие угрозы:
ддддддддддддддддддддддддддддддддддддддддддддддддддддддд 0;1 - 2 -
- потеря конфиденциальности (например, несанкционированное
получение информации); - потеря целостности (например,
манипуляции с данными); - потеря функциональности (например,
потеря или разрушение данных). В случае реализованного нападения
эти угрозы могут привести: - к плохо просчитываемым расходам; - к
потере реноме фирмы; - к последовательным искам. Поэтому наличие
сертификата безопасности является существенным фактором
безопасного и эффективного использования информационной техники.
ИТСЕК - ЕВРОПЕЙСКИЕ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ ИТСЕК является основой для тестирования защищенности
информационной техники. Защищенность определяется корректностью и
эффективностью механизмов защиты (в их числе аутентификация,
контроль доступа, механизм обеспечения безопасности передачи
данных). Короче: ЗАЩИЩЕННОСТЬ ЯВЛЯЕТСЯ ФУНКЦИЕЙ ЭФФЕКТИВНОСТИ И
КОРРЕКТНОСТИ КОРРЕКТНОСТЬ Уверенность в корректности
информационной техники зависит от глубины тестирования и качества
методик тестирования. ИТСЕК предусматривает 6 ступеней оценки
корректности - от Е1 до Е6: Уверенность в сильная правильном
функционировании зддддд зддддды зддддды зддддды
зддддды цддддды ступени слабая корректности
юдддддддддддддддддддддддддддддддддддддддддддддддд Е1 Е2 Е3 Е4 Е5
Е6 АСПЕКТЫ ТЕСТИРОВАНИЯ Критерии безопасности устанавливают
детализированные требования к: - продукту, 0;1 - 3 - - процессу
его разработки, - условиям его разработки, - документации на
продукт, - условиям функционирования продукта. (Описания ступеней
Е1 - Е6 имеются в докладе представителя ФАБИТ на выставке
CeBIT'96 Дитера Шенвальда "Сертификация информационных систем и
их компонентов в аспекте информационной безопасности", сборник
имеется в ГСТЗИ) ЭФФЕКТИВНОСТЬ Под эффективностью понимается
способность механизмов защиты противостоять характерным угрозам.
Эта способность называется стойкостью механизмов и может быть
охарактеризована одной из трех ступеней: низкая, средняя,
высокая. ОЦЕНКА ЗАЩИЩЕННОСТИ Чем выше требования пользователя к
безопасности, тем выше должна быть увереность в корректном
функционировании и стойкости против манипуляций. В следующей
таблице показаны разумные комбинации:
здддддддддддддрдддддддддбдддддддддддбдддддддддддддддддбдддддддддддд
Защищенность слабая удовлетво- хорошая - отличная
рительная очень хорошая
фмммммммммммммнмммммммммьмммммммммммьмммммммммммммммммьмммммммммммм
Корректность Е1 Е2 - Е3 Е4 - Е5 Е6
цдддддддддддддвдддддддддедддддддддддаддддддддбддддддддадддддддддддд
Стойкость низкая средняя высокая
юдддддддддддддпдддддддддаддддддддддддддддддддаддддддддддддддддддддды
ЗАКЛЮЧЕНИЕ О СЕРТИФИКАЦИИ В Заключении о сертификации: -
описываются защитные функции продукта в связи с характерными
угрозами; - указывается степень стойкости механизмов защиты; -
приводится степень уверенности в корректности функционирования
продукта (указывается Е-ступень); - приводятся требования к
инсталляции продукта и условиям его эксплуатации; - указываются
слабые места и соответствующие меры противодействия. ГДЕ МОЖНО
ОЗНАКОМИТЬСЯ С ЗАКЛЮЧЕНИЕМ О СЕРТИФИКАЦИИ ? Заключение о
сертификации продукта для ознакомления охотно предоставляется
изготовителем продукта. В отдельных случаях можно обращаться в
ФАБИТ. К заключению о сертификации прилагается сертификат
безопасности, в котором отражаются важнейшие аспекты
сертификации. 0;1 - 4 - ОБРАЗЕЦ СЕРТИФИКАТА ФАБИТ
здддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ВОПРОСАМ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГЕРМАНИИ СЕРТИФИКАТ
БЕЗОПАСНОСТИ Номер ФАБИТ-ИТСЕК-9999-2000
Сертифицированный продукт: ИТ-Гард Заявитель: фирма КоСС
Критерии: ИТСЕК, версия 1.2 Основание
сертификации: заявление о проведении сертификации от
01.01.19хх г. Способ доставки продукта: непосредственное
получение у изгото- вителя. Тип продукта: устройство
защиты ПК Результаты тестирования: функциональность -
класс функциональности F-C2; ступень оценки - Е3;
стойкость механизмов защиты (по крайней мере) - средняя
Ограничения: смотри указания и ограничения в заключении о сер-
тификации Примечание: настоящий Сертификат действителен
только при нали- чии Заключения о сертификации. Бонн
Президент ФАБИТ д-р Хенце
юдддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддды
(Классы функциональности описаны в докладе представителя ФАБИТ на
выставке CeBIT'96 Дитера Шенвальда "Сертификация информационных
систем и их компонентов в аспекте информационной безопасности")
Заказывайте брошюру ФАБИТ номер 7148 (в ГСТЗИ имеется в 4-х
экземплярах). В ней приведен обновленный список сертифицированных
продуктов с техническими данными и адресами изготовителей. ФАБИТ,
Второе Управление, третий отдел - "Отдел сертификации изделий и
программных продуктов" Почтовый ящик 20 03 63 D-53133 Бонн, Тел:
0228/9582-111 Факс:0228/9582-455 0;1 1.1
