Международные стандарты
За пределами США также появились аналоги «Оранжевой книги»: это руководящие документы Гостехкомиссии (1992 г.), а также «Критерий оценки безопасности информационных технологий» (ITSEC — Information Technology Security Evaluation Criteria, 1991), действующий в Великобритании, Германии, Франции и Нидерландах.
рис. 4.2a Этапы создания “Единых критериев”
В силу необходимости унификации подходов к информационной безопасности в конце концов возникла потребность снять двойственность регулирования, которая отдельно велась в США (TCSEC) и Европе (ITSEC). На рис. 4.2a показано «генеалогическое древо» принятия нового международного стандарта, получившего название «Единые критерии для оценки безопасности в области информационных технологий» [###5###] чаще всего его называют просто «Common Criteria» («Единые критерии»), определяющие международный стандарт ISO/IEC 15408, в разработке которого приняли участие Агентство национальной безопасности и Национальный институт стандартов и технологий (США), Группа по безопасности в области электроники и передачи данных (Великобритания), Федеральное агентство в области информационных технологий (Германия), Центральная служба безопасности информационных систем (Франция), Агентство национальной безопасности Нидерландов в области передачи данных, Служба безопасности в области передачи данных (Канада).
Новый подход к безопасности
Накопившиеся проблемы призван разрешить новый международный стандарт ISO/IEC 15408. Авторы этого документа - специалисты из шести стран (США, Канады, Великобритании, Германии, Нидерландов и Франции) и рабочей группы WG 3 "Критерии оценки безопасности" объединенного технического комитета JTC1 "Информационные технологии" ISO/IEC.
Авторы отказались от концепции фиксированного набора классов защищенности. Место класса в "Общих критериях" (ОК) занял профиль защиты (ПЗ), а за термином "класс" закреплено новое значение - набор функциональных или гарантийных требований, охватывающих те или иные задачи обеспечения безопасности. Из требований классов составляются ПЗ, конкретные виды которых в новом стандарте не рассматриваются. Даются только общие правила их составления и оценки. Кроме ПЗ, предназначенного для оценки требований безопасности независимо от реализации информационного продукта или системы, для оценки конкретных изделий в ОК вводится близкое ПЗ понятие "цель безопасности" (ЦБ) или техническое задание по безопасности. По сути ЦБ - это профиль защиты конкретного изделия со всеми относящимися к безопасности спецификациями.
Таким образом, ОК представляют собой базовый стандарт, определяющий структуру и содержание двух документов - ПЗ и ЦБ и содержащий энциклопедию требований, которые выбираются и упаковываются в ПЗ и ЦБ. С одной стороны, ПЗ может рассматриваться как детальное определение требований безопасности и гарантий, которые пользователи хотят видеть в продукте или системе. С другой - ЦБ может рассматриваться как описание в терминах требований безопасности того, что поставщик предлагает в продукте или системе. Более точно ПЗ - это независимая от реализации структура для определения и обоснования требований безопасности, представляющая собой неизменный и полный набор задач безопасности, функциональных и гарантийных требований. ПЗ разрабатывается для новых продуктов и систем. Для действующих или почти созданных продуктов и систем создается так называемая цель безопасности. ЦБ - это структура, зависящая от реализации и представляющая собой полный набор задач безопасности, функциональных и гарантийных требований, обобщенных спецификаций и обоснований. На основе ЦБ делается оценка конкретного информационного продукта или системы, называемого предметом оценки безопасности (ПОБ).