7.1 ВВЕДЕНИЕ Появление проекта международного стандарта "Общие критерии оценки безопасности информационных технологий" явилось качественно новым этапом в развитии нормативной базы оценки безопасности ИТ. Общие критерии (ОК) обобщили содержание и опыт использования Оранжевой книги, развили уровни гарантии оценки Европейских критериев [13], воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США. В Общих критериях проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы целевого использования. Главные преимущества Общих критериев - полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития. В разработке Общих критериев участвовали Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). В январе 1996 года была выпущена версия 1.0 Общих критериев, в мае 1998 года - версия 2.0 , а 4 июня 1999 года международная организация по стандартизации утвердила международный стандарт ISO 15408 “Критерии оценки безопасности информационных технологий”. Ниже рассмотрены концептуальные основы и основное содержание Общих критериев (по версии 1.0), а также основные изменения в версии 2.0, которая и принята в качестве международного стандарта. 7.2 ОБЩИЕ ПОЛОЖЕНИЯ Общие критерии разработаны таким образом, чтобы удовлетворить потребности трех категорий пользователей: потребителей объекта оценки, разработчиков объекта оценки и оценщиков объекта оценки. Под объектом оценки (ОО) понимается аппаратно-программный продукт или информационная система. К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы. К рассматриваемым в ОК аспектам безопасности относятся: защита от несанкционированного доступа, модификации или потери доступа к информации при воздействии угроз, являющихся результатом преднамеренных или непреднамеренных действий. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью. Некоторые аспекты безопасности ИТ находятся вне рамок ОК: а) ОК не охватывают оценку административных мер безопасности. Административные меры безопасности в окружающей среде объекта оценки рассматриваются только в той части, где они могут влиять на способность ИТ противостоять идентифицированным угрозам; б) в ОК не рассматривается оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений и наводок; в) ОК формулируют только критерии оценки и не содержат методик самой оценки; г) в ОК не входят критерии для оценки криптографических методов и алгоритмов защиты информации. Общие критерии предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла. Структурно ОК версия 1.0 представлены как совокупность самостоятельных, но взаимосвязанных частей: Часть 1. "Представление и общая модель". Определяются общая концепция, принципы и цели оценки безопасности ИТ. Приведены категории пользователей, для которых ОК представляют интерес. Часть 2. "Требования к функциям безопасности". Приведены требования к функциям безопасности и определен набор показателей для оценки безопасности информационных технологий. Каталоги части 2 содержат наборы требований, сгруппированные в семейства и классы. Часть 3. "Требования гарантии безопасности". Приведены требования гарантии безопасности, сгруппированные в семейства, классы и уровни гарантии оценки. Определены также критерии оценки для Профилей защиты Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |