История вопроса

Общие критерии представляют собой результат усилий по разработке критериев оценки безопасности ИТ, которые широко используются в международном сообществе. Они согласуют и развивают целый ряд исходных критериев, а именно существующие европейские, американские и канадские критерии (ITSEC, TCSEC и CTCPEC соответственно). В Общих критериях устранены концептуальные и технические различия между исходными документами. Это является существенным вкладом в разработку международного стандарта и открывает путь к всеобщему взаимному признанию результатов оценок.

Критерии, разработанные в Канаде и европейских странах, следовали логике основополагающей американской работы TCSEC («Оранжевой книги»). Разработка в США Федеральных критериев была первой попыткой объединения различных критериев с TCSEC, приведшей, в конце концов, к существующему объединению ресурсов для создания Общих критериев.

Наиболее сильной стороной при разработке ОК было привлечение всех, кто имел опыт создания оригинальных национальных критериев. Для ОК было полезно объединение их знаний и их намерение обеспечить максимально гибкий подход к стандартизации функциональных возможностей безопасности и оценочного доверия к безопасности. Общие критерии обладают достаточной адаптивностью, дающей возможность их эволюционного внедрения в многочисленные существующие национальные системы оценки безопасности, сертификации и аттестации ИТ.

Структура ОК также обеспечивает значительную гибкость при спецификации безопасных продуктов. Потребители и другие заинтересованные стороны могут задать функциональные возможности безопасности продукта с использованием стандартных профилей защиты и самостоятельно выбрать оценочный уровень доверия к безопасности из предопределенной совокупности семи возрастающих оценочных уровней доверия, от ОУД1 до ОУД7.

Версия 1.0 ОК была опубликована для обсуждения в январе 1996 г. Версия 2.0, учитывающая итоги широкого обсуждения и двухлетний опыт применения версии 1.0, была опубликована в мае 1998г.

Версия 2.0 ОК была принята Международной организацией по стандартизации (ISO) в качестве финального рабочего проекта, на основе которого был принят Международный стандарт ISO/IEC 15408–99 «Критерии оценки безопасности информационных технологий», введенный в действие с 1 декабря 1999г.