ИТСЕК

Критерии оценки безопасности информационных технологий ( ITSEC ) — это структурированный набор критериев для оценки компьютерной безопасности в продуктах и системах. ITSEC был впервые опубликован в мае 1990 года во Франции , Германии , Нидерландах и Великобритании на основе существующей работы в их странах. После обширного международного обзора версия 1.2 была впоследствии опубликована в июне 1991 года Комиссией Европейских сообществ для оперативного использования в схемах оценки и сертификации.

С момента запуска ITSEC в 1990 году ряд других европейских стран согласились признать действительность оценок ITSEC.

ITSEC был в значительной степени заменен на Common Criteria , которая обеспечивает аналогично определенные уровни оценки и реализует концепцию цели оценки и документ «Цели безопасности».

Концепции

Оцениваемый продукт или система, называемые целью оценки , подвергаются детальному изучению своих функций безопасности, завершающемуся всесторонним и информированным функциональным тестированием и тестированием на проникновение. Степень изучения зависит от желаемого уровня уверенности в цели. Для обеспечения различных уровней уверенности ITSEC определяет уровни оценки , обозначаемые от E0 до E6. Более высокие уровни оценки подразумевают более обширное изучение и тестирование цели.

В отличие от более ранних критериев, в частности TCSEC, разработанного оборонным ведомством США , ITSEC не требовал, чтобы оцениваемые цели содержали определенные технические характеристики для достижения определенного уровня гарантий. Например, цель ITSEC могла предоставлять функции аутентификации или целостности, не предоставляя конфиденциальности или доступности. Функции безопасности данной цели были задокументированы в документе Security Target , содержание которого должно было быть оценено и одобрено до оценки самой цели. Каждая оценка ITSEC основывалась исключительно на проверке функций безопасности, определенных в Security Target.

Использовать

Формальная нотация Z использовалась для подтверждения свойств безопасности электронной кассовой системы на основе смарт-карт Mondex , что позволило ей достичь уровня ITSEC E6 — наивысшего предоставленного уровня безопасности. ^[1]^[2]

Ссылки

^ Сьюзан Степни, Дэвид Купер и Джим Вудкок , Электронный кошелек: спецификация, уточнение и доказательство . Техническая монография PRG-126, Programming Research Group , Оксфордский университет , Великобритания, 2000.
↑ Джим Вудкок , Сьюзан Степни, Дэвид Купер, Джон Кларк и Джереми Джейкоб, Сертификация электронного кошелька Mondex по уровню ITSEC E6, Формальные аспекты вычислений , том 20, номер 1, страницы 5–19, январь 2008 г.

Библиография

ITSEC (июнь 1991 г.). "Критерии оценки безопасности информационных технологий (ITSEC): предварительные гармонизированные критерии" (PDF) . Документ COM(90) 314, версия 1.2. Комиссия Европейских сообществ. Архивировано из оригинала (PDF) 2006-05-23 . Получено 2006-06-02 .

[1] Сьюзан Степни, Дэвид Купер и Джим Вудкок , Электронный кошелек: спецификация, уточнение и доказательство . Техническая монография PRG-126, Programming Research Group , Оксфордский университет , Великобритания, 2000.

[2] Джим Вудкок , Сьюзан Степни, Дэвид Купер, Джон Кларк и Джереми Джейкоб, Сертификация электронного кошелька Mondex по уровню ITSEC E6, Формальные аспекты вычислений , том 20, номер 1, страницы 5–19, январь 2008 г.