Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Kryteria oceny zabiezpieczeń w teleinformatyce

Kryteria oceny zabiezpieczeń w teleinformatyce

Poprawność

Ocena poprawności - drugi etap badań - zakłada przejście od wymagań do praktyki.

Rozpatrywane są:

  1. poprawność konstrukcji obiektu z punktu widzenia przebiegu procesu badawczo-rozwojowego, gdzie ocenie podlega:

    * zawartość specyfikacji zabezpieczenia

    * projekt architektury

    * projekt szczegółowy

    * poprawność implementacji;

  2. poprawność konstrukcji obiektu z punktu widzenia środowiska badawczo-rozwojowego, gdzie oceniana jest dokumentacja:

    * kontroli konfiguracji

    * języków programowania i kompilatorów

    * zabezpieczenia procesu badawczo-rozwojowego;

  3. poprawność eksploatacji z punktu widzenia dokumentacji eksploatacyjnej, gdzie ocenie podlega dokumentacja:

    * administratora

    * użytkownika;

  4. poprawność eksploatacji z punktu widzenia środowiska funkcjonowania z oceną dokumentacji:

    * dostarczenia i konfiguracji obiektu

    * a rozruchu i eksploatacji obiektu;

Ocena poprawności sprowadza się więc w pewwnym stopniu do badania intencji konstruktora, jego solidności, poziomu organizacyjno-technologicznego procesu badawczo-rozwojowego i zabezpieczenia tego procesu.

Skuteczność

Trzecim etapem badań jest oszacowanie skuteczności (effectiveness). W odróżnieniu od etapu drugiego, nie są badane intencje konstruktora, a to, czy mu się naprawdę udało. Dobry algorytm klucza publicznego RSA może być z dnia na dzień już nie do przyjęcia tylko dlatego, że genialny matematyk poda algorytm faktoryzacji pracujący w czasie wielomianowo zależnym od parametrów tego szyfru. Dlatego też obowiązkiem oceniającego jest podjęcie próby przełamania zabezpieczeń, w szczególnym przypadku próby złamania systemu szyfrowego.

Ocena skuteczności pociąga za sobą rozpatrzenie następujących aspektów działania OPO (cyt. - 1) :

  1. przydatność funkcji realizujących zabezpieczenia OPO do przeciwstawienia się zagrożeniom bezpieczeństwa tego obiektu, zidentyfikowanym w specyfikacji zabezpieczeń;

  2. zdolność funkcji realizujących zabezpieczenia i mechanizmów OPO do współdziałania w taki sposób, że się wzajemnie wspomagają, zapewniają integralność i efektywność całości;

  3. zdolność mechanizmów zabezpieczenia OPO do odpierania bezpośrednich ataków;

  4. czy znane słabe miejsca zabezpieczenia w konstrukcji OPO mogłyby w praktyce spowodować przełamanie jego zabezpieczenia;

  5. czy OPO nie może być skonfigurowany lub używany w sposób, który nie jest bezpieczny, ale co do którego administrator lub ostateczny użytkownik tego obiektu mógłby mieć podstawy wierzyć, że jest on zabezpieczony;

  6. czy znane słabe miejsca zabezpieczenia w eksploatacji OPO mogą w praktyce spowodować przełamanie jego zabezpieczenia.
Drugi i trzeci etap badań, a więc poprawność i skuteczność, są określane jako ocena pewności (assurance) obiektu.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas