- •5. Критерии безопасности
- •5.1. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •5.2. Европейские критерии безопасности информационных технологий
- •5.3. Федеральные критерии безопасности информационных технологий
- •1. Требования к реализации политики безопасности
- •2. Мониторинг взаимодействий
- •3. Логическая защита яз
- •4. Физическая защита яз
- •5.4. Канадские критерии безопасности компьютерных систем
- •1. Объекты и субъекты
- •2. Теги
- •5.5. Единые критерии безопасности информационных технологий
- •I. Базовые понятия «Единых критериев»
- •5.6. Документы государственной технической комиссии России
- •Показатели защищенности по классам свт
- •Требования к защищенности ас
5.5. Единые критерии безопасности информационных технологий
«Единые критерии безопасности информационных технологий» (Common Griteria for Information Technology Security Evaluation) является результатом совместных усилий авторов «Европейских критериев безопасности информационных технологий», «Федеральных критериев безопасности информационных технологий» и «Канадских критериев безопасности компьютерных систем», направленных на объединение основных положений этих документов и создание единого международного стандарта безопасности информационных технологий. Версия 2.1 этого стандарта утверждена Международной организацией по стандартизации (ISO) в 1999 году в качестве международного стандарта информационной безопасности ISO| IEC 15408.
Разработчиками документа выступили Национальный институт стандартов и технологий и Агентство Национальной безопасности США, а также соответствующие организации Великобритании, Канады, Франции и Нидерландов.
«Единые критерии» сохраняют совместимость с существующими стандартами и развивают их введением новых концепций, соответствующих современному уровню развития информационных технологий и интеграции национальных информационных систем в единое мировое информационное пространство.
«Единые критерии» оперирует понятием «продукт информационной технологии» (ПИТ) и использует концепцию «Профиля защиты».
«Единые критерии» разрабатывались в расчете на то, чтобы удовлетворить запросы групп специалистов:
потребителей ПИТ;
производителей ПИТ;
экспертов по квалификации уровня безопасности ПИТ.
Потребители рассматривают квалификацию уровня безопасности ПИТ как метод определения соответствия ПИТ их запросам. Обычно запросы составляются на основании результатов проведенного анализа и выбранной политики безопасности. Предоставление потребителям механизма «Профиля защиты» позволяет им выразить специфичные для них требования, не заботясь о механизме их реализации.
Производители используют «Единые критерии» в ходе проектирования и разработки ПИТ, а также для подготовки к квалификационному анализу и сертификации. Этот документ дает возможность производителям на основании анализа запросов потребителей определить набор требований, которым должен удовлетворять разработанный ими продукт. Кроме того, предлагаемая «Единичными критериями» технология позволяет доказать насколько успешно разработанный ПИТ противостоит угрозам безопасности. ПИТ должен удовлетворять выдвинутым потребителем функциональным требованиям, а их реализация должны быть осуществлена с достаточным уровнем адекватности. Для этих целей производителям предлагается использовать «Проект защита», который дополняет «Профиль защиты» и позволяет соединить описания требований, на которые ориентировался разработки, и спецификации механизмов реализации этих требований.
Эксперты по квалификации используют этот документ в качестве основных критериев определения соответствия средств защиты ПИТ требованиям, предъявляемым к нему потребителем и угрозам, действующим в среде его эксплуатации. Однако, «Единые критерии» описывают только общую схему проведения квалифицированного анализа и сертификации, но не регламентируют процедуру их осуществления.
Следовательно, в концепцию «Единых критериев» входят все аспекты проектирования, производства и эксплуатации ПИТ, предназначенных для работы в условиях действия определенных угроз безопасности.