Оценка безопасности информационных технологий на основе «Общих критериев»

ев». Стандарт ISO 15408

Предпосылки введения международного стандарта ISO

  • 15408
  • 4.2. Основные понятия общих критериев
  • 4.3. Методология оценки безопасности информационных технологий по общим критериям
  • 4.4. Оценка уровня доверия функциональной безопасности информационных технологий
  • 4.5. Обзор классов и семейств ОК

Предпосылки введения международного стандарта ISO 15408

Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) или просто Common Criteria (общие критерии). В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения

П|Глава 4 обеспечения безопасности систем (Франция).

В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (ОК).

Общие критерии обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК -полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия.

Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы.

Вместе с тем, в ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остался не рассмотренным. Например, оценка административных мер безопасности, оценка безопасности от побочных электромагнитных излучений, методики оценки различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации.

На основе рассматриваемого стандарта в РФ был принят в 1999 г. аналогичный стандарт, состоящий из трех частей.

ISO 15408-1:1999 - Информационные технологии. Методы защиты. Критерии оценки для информационных технологий. Часть 1. Введение и общая модель.

ISO 15408-2:1999 - Часть 2. Функциональные требования безопасности.

ISO 15408-3:1999 - Часть 3. Требования к обеспечению защиты.

Первая часть определяет концепцию всего стандарта, вторая, самая большая часть, формализует методы и требования к информационной безопасности, а третья часть полностью посвящена процессам обеспечения доверия - (качества) компонентов информационных систем (ИС), реализующих функции их безопасности. По существу рассматривается регламентирование технологии и процессов обеспечения жизненного цикла программных средств, создаваемых для обеспечения безопасности функционирования и применения систем. При этом акцент документа сосредоточен на информационной безопасности сложных программных средств ИС. В тоже время основные положения этой части стандарта практически полностью применимы к технологии и процессам создания программных средств (ПС) и обеспечению их функциональной безопасности. Поэтому ниже в данном разделе многие положения этой части стандарта трактуются с позиции обеспечения функциональной безопасности, а термин - доверие применяется как понятие качество или уверенность выполнения требования безопасности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >