Профили Защиты & Общие кртерии
Модератор: Модераторы
Сообщений: 20
• Страница 2 из 2 • 1, 2
Harry33 » 09 апр 2005, 01:00
Dmitriy
Если тебе станет интересно, вот что я нашел по этому поводу.
http://www.infosec.ru/themes/default/ma ... matID=1856
Если тебе станет интересно, вот что я нашел по этому поводу.
http://www.infosec.ru/themes/default/ma ... matID=1856
Знания, которые нельзя применить - бесполезны
Dmitriy » 11 апр 2005, 10:41
В целом, я согласен с автором второй статьи. очевидно, что ни одно общее решение не может быть эффективней частного. Тем более, если речь идет о защите информации, такой подход позволит получить механизм защиты, учитывающий особенности обработки информации в конкретной организации.
Но в статье ни слова про то как это работает.
Но в статье ни слова про то как это работает.
Dmitriy » 12 апр 2005, 12:25
Как поживают специалисты?
На другом форуме пока тоже не густо: Единственное высказанное мнение - что разработку ПЗ заказывает государство. Просто берет и заказывает. без комментариев.
Я лично сильно сомневаюсь - кроме разработчика изделия ИТ никому не известны все ее особенности и условия обработки информации, и , как следствие, разработка решения по защите без его (разработчика) участия не возможна в принципе.
Согласны?
На другом форуме пока тоже не густо: Единственное высказанное мнение - что разработку ПЗ заказывает государство. Просто берет и заказывает. без комментариев.
Я лично сильно сомневаюсь - кроме разработчика изделия ИТ никому не известны все ее особенности и условия обработки информации, и , как следствие, разработка решения по защите без его (разработчика) участия не возможна в принципе.
Согласны?
Harry33 » 12 апр 2005, 14:01
Профиль защиты (ПЗ) - прерогатива заказчика, государство имеет к этому отношение в случае. когда само является заказчиком.
Знания, которые нельзя применить - бесполезны
Harry33 » 12 апр 2005, 14:04
| Цитата | ||
| Профили
Профиль защиты - одно из основных понятий "Общих критериев". В тексте стандарта это понятие определяется следующим образом: "Независимая от реализации совокупность требований безопасности для некоторой категории продуктов или ИТ-систем, отвечающая специфическим запросам потребителя". Можно сказать, что в привычных терминах профиль имеет много общего с техническим заданием. Все очень похоже - то же самое описание функционала будущей системы защиты информации (СЗИ), причем минимально привязанное к конкретной реализации (теоретически никак не привязанное). Вообще говоря, профиль допускается создавать как непосредственно для продукта, который представляет собой СЗИ, так и для защитной подсистемы какого-либо (практически любого) программного продукта. Более того, можно написать один профиль для целой совокупности программных продуктов. Так, существуют профили (на сегодняшний день только в виде проектов) для межсетевых экранов, профиль для СУБД (по сути, набор требований по безопасности для защиты СУБД), для клиентской ОС и т. д. [/quote] Знания, которые нельзя применить - бесполезны
|