Анотация: Рассмотрены особенности проведения оценки гарантий информационной безопасности для комплексной системы защиты информации в соответствии с государственными и международными стандартами. Предложено применение формальной модели оценки требований гарантий информационной безопасности для субъектов экспертизы с применением аксиоматических конструкций. Такая модель позволяет осуществлять исследования процесса оценки гарантий информационной безопасности и определять требования к результатам экспертизы относительно повторяемости, воспроизводимости, сопоставимости. объективности и беспристрастности.
Также в статье для определения требований, которые предъявляются к результатам экспертизы, предложены условия идентичности объектов оценивания, программ и методик оценивания, экспертов, совокупности свидетельств и результатов оценивания. Данные условия являются четкими и опираются на строгие определения равенства соответствующих множеств или графов, что позволяет на практике объективно подтвердить выполнение требований к результатам экспертизы.
Ключевые слова:
комплексная система защиты информации, информационно-телекоммуникационная система, информационная безопасность, субъект экспертизы, объект экспертизы, формальная модель, эксперт
1. Potii O. Advanced security assurance case based on ISO/IEC 15408 / O. Potii, O. Illiashenko, D. Komin // Theory and Engineering of Complex Systems and Dependability. – 2015. – P. 391-401.
2. Лемешко А.В. Категориально-тензорное представление телекоммуникационной системы / А.В. Лемешко, О.Ю. Евсеева, А.В. Чечуй // Наукові записки УНДІЗ. – 2008. – № 2(4). – С. 3-15.
3. Potij A.V. A Method of Evaluating Assurance Requirements / A.V. Potij, D.S. Komin, I.N. Rebriy // Information & Security. An International Journal. – 2012. – Vol. 28, No. 1. – Р. 108-120.
4. Ілляшенко О.О. Оцінювання інформаційної безпеки систем на програмовній логіці з використанням кейсів: таксономія, нотація, концепція / О.О. Ілляшенко // Наука і техніка Повітряних Сил Збройних Сил України. – 2018. – № 2(31). – С. 97–103. https://doi.org/10.30748/nitps.2018.31.12.
5. ДСТУ ISO/IEC 15408-1:2017 Інформаційні технології. Методи захисту. Критерії оцінки. Частина 1. Вступ та загальна модель (ISO/IEC 15408-1:2009, IDT).
6. ДСТУ ISO/IEC 15408-2:2017 Інформаційні технології. Методи захисту. Критерії оцінки. Частина 2. Функціональні вимоги (ISO/IEC 15408-2:2008, IDT).
7. ДСТУ ISO/IEC 15408-3:2017 Інформаційні технології. Методи захисту. Критерії оцінки. Частина 3. Вимоги до гарантії безпеки (ISO/IEC 15408-3:2008, IDT).
8. Потий А.В. Формальная модель процесса защиты информации / А.В. Потий // Радіоелектронні і комп’ютерні системи. – 2006. – № 5(17). – С. 128-133.
9. ДСТУ ISO/IEC 18045:2015 Інформаційні технології. Методи захисту. Методологія оцінювання безпеки IT (ISO/IEC 18045:2008, IDT).
10. Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах : НД ТЗІ 2.6-001-11. – [Чинний від 2011-03-25]. – К.: Адміністрація Державної служби спеціального зв’язку та захисту інформації України, 2011. – 104 с. – (Нормативний документ системи технічного захисту інформації).
11. ISO/IEC 15408-1:2009, Informational technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model [Elektronik resource]. – Available at: https://www.iso.org/standard/50341.html.
12. ISO/IEC 15408-3:2008, Informational technology – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance requirement [Elektronik resource]. – Available at: https://www.iso.org/standard/46413.html.
13. Prieto-Diaz R. The Common Criteria Evaluation Process. Process Explanation, Shortcomings, and Research Opportunities / R. Prieto-Diaz // Commonwealth Information Security Center Technical Report CISC-TR-2002-03. – December 2002. –CISC, James Madison University, USA. – 62 p.
ENG
