8.5 Шляхи і перспективи застосування "Загальних критеріїв"

"Загальні критерії" розроблені в розрахунку на три групи спеці­алістів: виробників і розробників, рядових споживачів (масових ко­ристувачів), а також експертів кваліфікаційного аналізу захищених систем.

Споживачі можуть розглядати декларування рівня безпеки ІТ-продукту як метод визначення відповідності ІТ-продукту до своїх запитів. Ці запити складаються на основі результаті проведення ана­лізу ризику і вибраної політики безпеки. "Загальні критерії" відігра­ють суттєву роль в процесі формування запитів споживачів, так як містять механізми, що дозволяють сформувати ці запити у вигляді набору стандартизованих вимог (функціональності і адекватності). Це дозволяє споживачам прийняти обґрунтоване рішення про варі­анти використання тих чи інших ІТ-продуктів. Крім того "Загальні критерії" представляють споживачам механізм профілів і проектів захисту, за допомогою яких вони можуть сформулювати специфічні для них вимоги, не турбуючись про механізми їх реалізації.

376

Розділ 8 Критерії безпеки інформаційних технологій

Виробники (розробники) можуть використовувати рекомендації "Загальних критеріїв" в ході проектування ІТ-продуктів, а також припідготовці до кваліфікаційного аналізу і сертифікації Цей документ надає їм можливість на основі запитів споживачів визначити набір вимог, яким повинен задовольняти ІТ-продукт, що розроблюється. "Загальні критерії" пропонують виробникам спеціальний механізм проекту захисту. Він доповнює профіль захисту і дозволяє з'єднати опис механізмів реалізації засобів захисту і вимог, на які орієнтував­ся розробник.

Експерти кваліфікаційного аналізу можуть використати положе­ння цього документу як критерії для визначення відповідності між ІТ-продуктом і пред'явленими до нього вимогами. Стандарт "Загаль­них критеріїв" описує тільки загальну схему проведення кваліфі­каційного аналізу і сертифікації, але не регламентує процедуру їх здійснення. Питаннями методології кваліфікаційного аналізу і сер­тифікації присвячений окремий документ авторів "Загальних крите­ріїв" — Загальна методологія оцінки безпеки інформаційних техно­логій [82], який є додатком до стандарту.

Враховуючи перспективність та міжнародний характер "Загаль­них критеріїв", доцільно використати їхні основні положення та кон­струкції при розробці нормативних документів, методичного та ін­струментального забезпечення оцінки безпеки продуктів та систем інформаційних технологій. Зокрема, пропонується розробка компле­ксу нормативних документів системи технічного захисту:

• Безпека інформаційних технологій. Терміни та визначення;

• Концепція оцінки безпеки інформаційних технологій;

• Загальні критерії безпеки інформаційних. Функціональні вимоги та вимоги гарантій безпеки;

• Профіль захисту. Керівництво з розробки та реєстрації;

• Завдання з безпеки. Керівництво з розробки та оформлення;

• Керівництво з проектування та експлуатації автоматизованих си­стем, які відповідають вимогам інформаційної безпеки;

• Керівництво з сертифікації продуктів і систем інформаційних те­хнологій з вимог безпеки і т.ін.

До прийняття "Загальних критеріїв" як міжнародних стандартів та та прийняття відповідних державних стандартів, доцільно при формуванні вимог та оцінки безпеки продуктів і систем інформацій­них технологій керуватися не тільки вимогами діючих нормативних документів, але й додаткових вимог, сформованих на основі "Загаль­них критеріїв" з урахуванням специфіки конкретного об'єкта оцінки.

377

Частина II Основи безпеки інформаційних технологій

Доцільно також на основі матеріалів "Загальних критеріїв" вести розробку профілів захисту і вимог технічного завдання із забезпече­ння безпеки для нових типів продуктів (систем) і нових інформацій­них технологій.

378

Розділ 9

ОСНОВИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ