GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Нормативная база информационной безопасности Post New Topic   Post A Reply
Практическое использование ГОСТ Р ИСО/МЭК 15408 printer friendly version
next newest post | next oldest post
Author Messages
Grigory
Corporal

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 23

Click here to see the profile for Grigory Send email to Grigory Send private message to Grigory Find more posts by Grigory Edit or delete this message Reply w/Quote
Posted Monday, September 13, 2004 @ 18:46:50  

Господа!
Есть предложение обсудить практическое использование данного ГОСТа. При производстве каких-то массовых решений (Объектов Оценки ) всё более или менее ясно. Интересен вопрос применения этого ГОСТа внутри организации. Например, принята политика, по которой при разработке внутренних систем должны писаться ПЗ/ЗБ, а перед внедрением системы - проводиться оценка (в терминах 15408).
Кто-нибудь уже имеет опыт оценки систем требованиям ПЗ/ЗБ? Какие трудности? И вообще на сколько оправдывает/не оправдывает себя подобная практика?
Спасибо.
Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Tuesday, September 14, 2004 @ 11:36:58    ICQ

ИМХО Данная практика себя вполне оправдывает и целесообразно ее внедрять повсеместно. Единственной проблемой является плохое качество перевода, поэтому мы пользуемся оригинальной версией.

--------------------
Regards,
Alexander Astahov

Grigory
Corporal

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 23

Click here to see the profile for Grigory Send email to Grigory Send private message to Grigory Find more posts by Grigory Edit or delete this message Reply w/Quote
Posted Tuesday, September 14, 2004 @ 15:25:34  

Не могу согласиться с Вами на счёт качества перевода. Конечно, текст получился тяжеловатый, но, по-моему, вполне адекватный. Тогда перевфразирую вопрос: какие возникают трудности при практическом применении ISO 15408? =)
Вот как, например, Вы справляетесь с такой проблемой:
Система строится на основе различных продуктов, в том числе собственного ПО, при чём на все продукты есть ПЗ/ЗБ. Все компоненты оценены и имеют какие-то (разные) ОУД (Оценочные Уровни Доверия - Evaluation Assurance Level(EAL)). Как в такой ситуации подходить к оценке системы в целом?
Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Tuesday, September 14, 2004 @ 16:03:12    ICQ

Надо подходить в соответствии с методологией оценки, описаной в первой части стандарта. Задание по безопасности в данном случае будет содержать ссылки на соотвествующие профили защиты для подсистем. ОУД для системы выбирается исходя из степени критичности системы и допустимых затрат на процедуру оценки.

Русский перевод ISO 15408 я в последний раз открывал в 2002, когда требовалось разработать ПЗ на систему контроля защищенности и на IDS. Но вынужден был от него отказаться из-за того, что содержание не соответствовало тому, что имели ввиду разработчики Common Criteria. Я сказал тогда об этом переводчикам и они обещали поправить, однако править надо было серьезно и практически каждый обзац. Сомневаюсь что с тех пор что-то серьезно изменилось. Мы, по крайней мере, больше русской версией воспользоваться мы не пытались.

Серьезная проблема также заключается в отсутствии адекватных русскоязычных профилей защиты. То, что можно увидеть на официальном сайте Гостехкомиссии, по моему использовать без кординальной переработки нельзя.

ИМХО время СС в нашей стране еще не пришло, т.к. у нас отсутствует система сертификации, в которой этот стандарт мог бы работать. У нас сертификация это не подтверждение качества продукта, а процесс получения официального разрешения на его использование в государственных организациях, приобретаемого за деньги. Другого практического смысла данная процедура, увы, не имеет.

--------------------
Regards,
Alexander Astahov

Grigory
Corporal

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 23

Click here to see the profile for Grigory Send email to Grigory Send private message to Grigory Find more posts by Grigory Edit or delete this message Reply w/Quote
Posted Tuesday, September 14, 2004 @ 18:46:19  

Спасибо, Александр.

Может тогда создать сайт и организовать группу по адекватному переводу Общих критериев? Заодно можно развернуть проект по добавлению (расширению) требований доверия для специфических систем.

Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Wednesday, September 15, 2004 @ 13:18:18    ICQ

Quote:
Originally posted by Grigory
Спасибо, Александр.

Может тогда создать сайт и организовать группу по адекватному переводу Общих критериев? Заодно можно развернуть проект по добавлению (расширению) требований доверия для специфических систем.

Таких действий мы не планируем. Но мы с удовольствием обсудим и выложим любые наработки по этому вопросу на сайте, т.к. считаем стандарт ISO 15408 очень значительным явлением для IT-security сообщества.

--------------------
Regards,
Alexander Astahov

CrashTDummy
Private

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 1

Click here to see the profile for CrashTDummy Visit http://www.rnt.ru Send email to CrashTDummy Send private message to CrashTDummy Find more posts by CrashTDummy Edit or delete this message Reply w/Quote
Posted Wednesday, December 1, 2004 @ 18:42:59    ICQ

Случайно наткнулся на форум, посему реакция запоздалая.
Имею практический опыт по написанию ПЗ для Гостехкомиссии и проекта ЗБ в рамках сертификации по РД (не реклама:-)).
Давно руки чешутся попробовать связать любую политику безопасности (7799) и ЗБ (15408). Похожее желание есть у комитета SC27, который разрабатывал Общие Критерии, ибо давно есть драфт документа по оценке безопасности ИТ системы, в том числе организационных мероприятий, в духе Части 2 и Части 3 ОК.
Со своей стороны могу предложить подход, который навеяло создание ПЗ:
1. В политике безопасности существуют требования (security objectives), относящиеся к организации вообще и к отдельным системам ИТ в частности. Эти требования переносятся в ЗБ на каждую систему ИТ соответственно как положения политики безопасности и предположения.
2. В результате оценки рисков выбираются выявленные угрозы непосредственно для каждой системы ИТ, которые свободно переносятся в раздел угрозы главы Среда Безопасности ОО. Остаточные риски, наверное, не обязательно вносить.
3. Затем каждое ЗБ формируется либо как ТЗ на систему, если ее еще нет, либо как база для оценки существующей системы ИТ.
4. Проводится оценка или переоценка (при модернизации) каждой системы ИТ, выходные данные оценки могут использоваться при анализе рисков, составлении различных планов проверки, написания документации и т. п.
На мой взгляд, ОК представляет большие возможности по созданию универсального документа, который необходим организации, компаниям-разработчикам и аудиторам технических средств, благо есть обширная база ПЗ по разным продуктам ИТ.
Polazhenko
Private

Gender: Unspecified
Location: Minsk, Belarus
Registered: Mar 2006
Status: Offline
Posts: 1

Click here to see the profile for Polazhenko Visit http://security.software-testing.ru Send email to Polazhenko Send private message to Polazhenko Find more posts by Polazhenko Edit or delete this message Reply w/Quote
Posted Wednesday, January 12, 2005 @ 13:08:17    ICQ

Quote:
благо есть обширная база ПЗ по разным продуктам ИТ

и где же она есть, да ещё так, чтобы она была общедоступна?
По-моему это одна из первичных проблем для практического внедрения стандартов. ПЗ и ЗБ (по-крайней мере, у нас в Беларуси) если и разрабатываются, то гос. органами и в большинстве случаев для военных ведомств или собственных целей, в результате коммерческий сектор вообще в пролёте.

Правда, есть три профиля защиты (электронная почта и два профиля на операционные системы сервера), которые были приняты в качестве предстандартов РБ. Но это тоже неверная практика. Т.к. ПЗ и ЗБ не могут быть стандартами - у них должен быть свой собственный статус. В респулике ведутся работы по созданию официального каталога ПЗ и ЗБ с функциями регистрации и выдачи, но точно не знаю об успехах этого мероприятия.

Было бы интересно узнать, как обстоят дела с этими же вопросами в РФ, Украине и у других наших добрых соседей.

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 13:54:56    ICQ

Quote:
Originally posted by Alexander Astahov
Надо подходить в соответствии с методологией оценки, описаной в первой части стандарта. Задание по безопасности в данном случае будет содержать ссылки на соотвествующие профили защиты для подсистем. ОУД для системы выбирается исходя из степени критичности системы и допустимых затрат на процедуру оценки.

Русский перевод ISO 15408 я в последний раз открывал в 2002, когда требовалось разработать ПЗ на систему контроля защищенности и на IDS. Но вынужден был от него отказаться из-за того, что содержание не соответствовало тому, что имели ввиду разработчики Common Criteria. Я сказал тогда об этом переводчикам и они обещали поправить, однако править надо было серьезно и практически каждый обзац. Сомневаюсь что с тех пор что-то серьезно изменилось. Мы, по крайней мере, больше русской версией воспользоваться мы не пытались.

Серьезная проблема также заключается в отсутствии адекватных русскоязычных профилей защиты. То, что можно увидеть на официальном сайте Гостехкомиссии, по моему использовать без кординальной переработки нельзя.

ИМХО время СС в нашей стране еще не пришло, т.к. у нас отсутствует система сертификации, в которой этот стандарт мог бы работать. У нас сертификация это не подтверждение качества продукта, а процесс получения официального разрешения на его использование в государственных организациях, приобретаемого за деньги. Другого практического смысла данная процедура, увы, не имеет.

Александр, а в чем несоответствие?

Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 14:17:14    ICQ

Многие требования стандарта были неправильно переведены с английского на русский, так что смысл исчезал.

--------------------
Regards,
Alexander Astahov

Владимир Хоменко
Unregistered
Edit or delete this message Reply w/Quote
Posted Tuesday, July 12, 2005 @ 01:40:46  

Было бы интересно узнать, как обстоят дела с этими же вопросами в РФ, Украине и у других наших добрых соседей.
[/B][/QUOTE]

В Украине действуют собственные критерии (оценки защищенности автоматизированных систем от несанкционированного доступа), которые созданы на основе канадских критериев, приняты в 1999 году и, с тех пор, не перерабатывались и не обновлялись. Эти критерии не предполагают создания развернутых описаний типа ПЗ/ЗБ для продуктов, хотя пара своеобразных профилей была разработано. В целом, проблема профилей в Украине не актуальна, поскольку сначала надо решить проблему замены устаревших критериев на международные.

MarS
Private

Gender: Unspecified
Location:
Registered: Dec 2006
Status: Offline
Posts: 3

Click here to see the profile for MarS Send email to MarS Send private message to MarS Find more posts by MarS Edit or delete this message Reply w/Quote
Posted Tuesday, December 12, 2006 @ 01:53:43  

ЗДРАВСТВУЙТЕ

Может у гого есть информация по данной теме или же интересные ссылки. Буду очень благодарен.

Оценка защищенности ОС Windows XP Professional (NT, 2000) в соответствии со стандартами ISO («Общими критериями»).

Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Tuesday, December 12, 2006 @ 15:42:48    ICQ

Quote:
Originally posted by MarS

ЗДРАВСТВУЙТЕ

Может у гого есть информация по данной теме или же интересные ссылки. Буду очень благодарен.

Оценка защищенности ОС Windows XP Professional (NT, 2000) в соответствии со стандартами ISO («Общими критериями»).

Информация обо всех продуктах, прошедших сертификацию по CC, приведена на портале http://www.commoncriteriaportal.org (имеется ввиду, конечно, не российская, а общепризнанная в мире система сертификации). Там можно найти PP, ST и другие материалы, имеющие к этому отношение.

--------------------
Regards,
Alexander Astahov

MarS
Private

Gender: Unspecified
Location:
Registered: Dec 2006
Status: Offline
Posts: 3

Click here to see the profile for MarS Send email to MarS Send private message to MarS Find more posts by MarS Edit or delete this message Reply w/Quote
Posted Wednesday, December 13, 2006 @ 00:03:47  

спасибо за ссылку
портал конечно хороший.но мне бы на русском
Alexander Astahov
Master Sergeant

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 196

Click here to see the profile for Alexander Astahov Visit http://www.globaltrust.ru Send email to Alexander Astahov Send private message to Alexander Astahov Find more posts by Alexander Astahov Edit or delete this message Reply w/Quote
Posted Wednesday, December 13, 2006 @ 10:30:56    ICQ

Увы

--------------------
Regards,
Alexander Astahov

MarS
Private

Gender: Unspecified
Location:
Registered: Dec 2006
Status: Offline
Posts: 3

Click here to see the profile for MarS Send email to MarS Send private message to MarS Find more posts by MarS Edit or delete this message Reply w/Quote
Posted Wednesday, December 13, 2006 @ 22:24:54  

В Росии никто не занимался Оценкой защищенности ОС Windows в соответствии со стандартами ISO и не ниписал не одной статьи ?
Я просто уже очень много обошёл страниц
...это моя последняя надежда...
Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Обсуждение стандартов, руководящих документов, законодательных актов и прочей нормативной базы в области информационной безопасности
Currently Active Users: 1
There are currently 0 members and 1 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex