- •Стандарты информационной безопасности
- •Основные международные стандарты в области информационной безопасности
- •Предпосылки создания международных стандартов иб Общие вопросы
- •Состояние международной нормативно-методической базы
- •Назначение и цели международной стандартизации
- •Международная организация по стандартизации isо
- •Международные стандарты информационной безопасности
- •Критерии оценки доверенных компьютерных систем («Оранжевая книга») Основные сведения
- •Основные требования и средства
- •Основные понятия
- •Безопасная система
- •Доверенная система
- •Политика безопасности
- •Уровень гарантированности
- •Операционная гарантированность
- •Подотчетность
- •Идентификация и учёт
- •Предоставление доверенного пути
- •Регистрация и учёт
- •Анализ регистрационной информации (Аудит)
- •Доверенная вычислительная база
- •Монитор обращений
- •Ядро безопасности
- •Периметр безопасности
- •Механизмы реализации безопасности
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •Разделы безопасности
- •Классы безопасности
- •Краткая классификация
- •Стандарты iso/iec 17799:2000 (bs 7799-1:2000)
- •Германский стандарт bsi
- •Международный стандарт iso/iec 15408 «Общие критерии оценки безопасности информационных технологий»
- •Стандарты 270хх
- •Стандарты беспроводных сетей Стандарт ieee 802.11
- •Стандарты информационной безопасности для Интернета
- •Протокол ssl
- •Протокол ipSec
- •Протокол set
- •Инфраструктура управления открытыми ключами pki
- •Отечественные стандарты безопасности информационных технологий
- •Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408
Стандарт «Критерии оценки безопасности информационных технологий» гост р исо/мэк 15408
С января 2004 года в России действует стандарт «Критерии оценки безопасности информационных технологий» ГОСТ Р ИСО/МЭК 15408, который является аналогом стандарта ISO 15408. Стандарт ГОСТ Р ИСО/МЭК 15408, называемый еще «Общими критериями», является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
«Общие критерии» направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппарат ными, программно-аппаратными и программными средствами.
«Общие критерии» предназначены служить основой при оценке характеристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска.
Стандарт ГОСТ Р ИСО/МЭК 15408 состоит из трех частей.
В первой части (ГОСТ Р ИСО/МЭК 15408-1 «Введение и общая модель») устанавливается общий подход к формированию требований безопасности и оценке безопасности, на их основе разрабатываются основные конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (00) по методологии «Общих критериев» определяются исходя из целей безопасности, которые основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).
Часть вторая (ГОСТ Р ИСО/МЭК 15408-2 «Функциональные требования безопасности») содержит универсальный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Третья часть (ГОСТ Р ИСО/МЭК 15408-3 «Требования доверия к безопасности») включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия (ОУД), определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Обобщая вышесказанное, можно отметить, что каркас безопасности, заложенный частью 1 стандарта ГОСТ Р ИСО/МЭК 15408, заполняется содержимым из классов, семейств и компонентов в части 2, а третья часть определяет, как оценить прочность всего «строения».
Стандарт «Общие критерии безопасности информационных технологии» отражает достижения последних лег в области информационной безопасности. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспертам по оценке безопасности ИТ-продуктов.
Главные достоинства стандарта ГОСТ Р ИСО/МЭК 15408:
полнота требований к информационной безопасности;
гибкость в применении;
открытость для последующего развития с учетом новейших достижений науки и техники.