9. Развитие критериев оценки безопасности информационных технологий от tcsec к сс.

TCSEC были разработаны и развиты в США. В последующем десятилетии различные страны продолжили развитие критериев оценки на основе концепций TCSEC, сделав их более гибкими и приспособленными к развитию ИТ. В июне 1993 года авторы ITSEC, TCSEC, FC, CTCPEC объединили свои усилия и начали разработку проекта Общих критериев оценки безопасности информационных технологий (CCEB). В январе 1996 года была выпущена версия 1.0 Общих критериев. «Общие критерии» на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.

10. Основные концептуальные положения ок.

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Чтобы структурировать пространство требований, в стандарте используется иерархия класс – семейство – компонент – элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

11. Назначение. Пользователи.

Назначение: Спецификация определенного параметра в компоненте.

Пользователь: Любая сущность (человек-пользователь или внешний объект ИТ) вне ОО, которая взаимодействует с ОО.

12. Зависимости между требованиями.

Между компонентами могут существовать зависимости в тех случаях, когда какой-либо компонент не самодостаточен и зависит от наличия другого компонента. Зависимости могут существовать между разными функциональными компонентами, разными компонентами требований доверия, а также, в редких случаях, между отдельными функциональными компонентами и компонентами требований доверия.

Требования предполагают, что добавленный компонент иерархически зависит от предыдущего (иерархическая зависимость).

Описание зависимости компонентов является частью определения компонента в ОК. Для полноты описания требований безопасности в ПЗ и ЗБ все зависимости компонентов должны быть удовлетворены.

Все зависимости компонентов требований доверия автоматически удовлетворяются при использовании предопределенных ОУД.

13. Структура и состав ок.

ОК состоят из нескольких отдельных, но взаимосвязанных частей, перечисленных ниже.

Часть 1 "Введение и общая модель" является введением в ок. В ней определяются общие принципы и концепции оценки безопасности ит и приводится общая модель оценки.

Часть 2 "Функциональные требования безопасности" устанавливает совокупность функциональных компонентов как стандартный способ выражения функциональных требований к ОО. Содержит каталог всех функциональных компонентов, семейств и классов.

Часть 3 "Требования доверия к безопасности" устанавливает совокупность компонентов доверия как стандартный способ выражения требований доверия к ОО. Содержит каталог всех компонентов, семейств и классов доверия. Кроме того, в этой части определены критерии оценки профилей защиты и заданий по безопасности и представлены оценочные уровни доверия (ОУД), которые определяют предопределенную ОК шкалу ранжирования доверия к ОО.