Стандарт ISO Общие критерии оценки безопасности информационных технологий
ISO В 1990 году под эгидой Международной организации по стандартизации (ISO) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта в области оценки безопасности ИТ. Разработка этого стандарта преследовала следующие основные цели: унификация национальных стандартов в области оценки безопасности ИТ ; повышения уровня доверия к оценке безопасности ИТ; сокращения затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.
Стандарт ISO Общие критерии оценки безопасности информационных технологий под названием: В мае 1998 года была опубликована версия 2.0 нового стандарта «Общих критериев» и на её основе в 1999 году принят международный стандарт ISO/IEC под названием: Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно – Common Criteria). Новый стандарт обобщил содержание и опыт использования «Оранжевой книги», развил уровни уверенности как в успешном национальном стандарте «Европейские критерии» и воплотил в реальные структуры концепцию профилей защиты Федеральных критериев США.
Общие критерии не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы. «Общие критерии» не содержат предопределенных классов безопасности. Данные классы могут быть построены для конкретной организации или информационной системы. Так же, не приводятся списка требований по безопасности или списка особенностей, которые должен содержать продукт (компьютерная программа для безопасности). Вместо этого он описывает инфраструктуру (framework), в которой Вместо этого он описывает инфраструктуру (framework), в которой: o потребители компьютерной системы - могут описать требования; o разработчики могут заявить о свойствах безопасности продуктов; o эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. В стандарте наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня.
С программистской точки зрения Общие критерии можно считать набором библиотек, помогающих писать содержательные программы – задания по безопасности, типовые профили защиты и т.п. С программистской точки зрения « Общие критерии » можно считать набором библиотек, помогающих писать содержательные « программы » – задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, с нуля, программы не пишут уже очень давно. Оценка безопасности тоже вышла на сопоставимый уровень сложности, и Common Criteria предоставили соответствующий инструментарий. Без библиотек, « с нуля », программы не пишут уже очень давно. Оценка безопасности тоже вышла на сопоставимый уровень сложности, и « Common Criteria » предоставили соответствующий инструментарий. Важно отметить, что требования могут быть параметризованный, как и полагается библиотечным функциям Важно отметить, что требования могут быть параметризованный, как и полагается библиотечным функциям.
Общие критерии содержат два основных вида требований Функциональные требования Требования доверия соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации ИС Требования безопасности предъявляются для определенного программно-аппаратного продукта, а их выполнение проверяется с целью оценки уровня информационной безопасности.
Функциональные Функциональныетребования Аутентификация и идентификация Защита функциональной безопасности Управление и аудит безопасности Доступ к объекту оценки
Функциональные Функциональныетребования Приватность (защита пользователя от раскрытия и использования его идентификационных данных) Использование ресурсов (требование доступности информации) Криптографическая поддержка Связь (аутентификация сторон при обмене данными) Доверенный маршрут (канал для связи с сервисами безопасности)
Требования Требованиядоверия Требования к разработке системы (поэтапная детализация функций безопасности) Поддержка жизненного цикла (требование к модели жизненного цикла) Оценка уязвимостей (включая оценку стойкости функций безопасности) Тестирование Поставка и эксплуатация
Требования Требованиядоверия Управление конфигурацией Поддержка доверия Руководства (требования к эксплуатационной документации) Оценка профиля защиты Оценка задания на безопасность
Угрозы информационной безопасности Общие критерии рассматривают объект оценки в контексте некоторой среды безопасности, характеризующейся определенными условиями и угрозами.« Общие критерии » рассматривают объект оценки в контексте некоторой среды безопасности, характеризующейся определенными условиями и угрозами. Для характеристики угрозы информационной безопасности используются следующие параметры:Для характеристики угрозы информационной безопасности используются следующие параметры: –Источник угрозы; –Метод воздействия на объект оценки; –Уязвимости, которые могут быть использованы; –Ресурсы, которые могут пострадать от реализации.
Профиль защиты Одним из основных нормативных документов, определяемых в Общих критериях является профиль защиты.Одним из основных нормативных документов, определяемых в « Общих критериях » является профиль защиты. Профиль защиты – документ, включающий в себя типовой набор требований, которым должны удовлетворять системы.Профиль защиты – документ, включающий в себя типовой набор требований, которым должны удовлетворять системы. Задание по безопасности (проект защиты) – содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей.Задание по безопасности (проект защиты) – содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей.