Международный стандарт "Общие критерии оценки безопасности информационных технологий"
Для рыночных условий важна юридическая силаэлектронных документов, которая достигается с помощью средств защиты информации (ЗИ). В частности, активно развивается процесс электронной торговли с использованием последних достижений микроэлектроники и средств телекоммуникаций.Страны ЕС и США договорились и ведут беспошлинную электронную торговлю с 1 января 1998 г.
Всемирная Торговая Организация, членом которой является Россия, в мае 1998 г. приняла решение о введении беспошлинной электронной торговли.
В связи с этим, важным направлением международного взаимодействия является формирование открытых систем. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных.
Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях. Термин "открытые" подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится к механизмам криптографической ЗИ и к защите от НСД.
При создании и выборе средств и систем ЗИ даже для одной предметной области возникает вопрос о том, как оценить или сравнить между собой различные средства ЗИ. Проблема еще более обостряется из-за того, что ИТ очень много, они соприкасаются и пересекаются между собой. Поэтому для их сравнения и стыковки необходимы некоторые критерии.
Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ISO), a также Международная Электротехническая комиссия (ТЕС) составили специализированную систему по мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности ИТ для общего использования, названные Common Criteria или "Общие критерии оценки безопасности информационных технологий". В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
За прошедшее десятилетие лучшими специалистами мира "Общие критерии" неоднократно редактировались. Международный стандарт ISO/IEC 15408 был подготовлен Техническим комитетом ISO/IEC JTC 1 по информационным технологиям совместно с Комитетом по реализации общих критериев, являющимся органом, состоящим из членов спонсорских организаций Проекта общих критериев, и под названием "Общие критерии оценки безопасности информационных технологий" (ОК) 8 июня 1999 г. утвержден ISO. Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу будут поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
ОК обобщили содержание и опыт использования Оранжевой книги, развили европейские критерии, критерии Канады и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития.
Появление международного стандарта ОК является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.
К рассматриваемым в ОК аспектам безопасности относятся: защита от НСД, модификации или потери доступа к информации при воздействии угроз, являющихся результатом случайных или преднамеренных действий.
Некоторые аспекты безопасности ИТ находятся вне рамок ОК:
оценка административных мер безопасности;
оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений;
методики оценки;
критерии для оценки криптографических методов ЗИ.
ОК предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
ОК состоят из следующих частей:
- Проблемы информационной безопасности и пути их решения
- Современное состояние информационной безопасности в России
- Основные термины и определения из области информационной безопасности.
- Принципы построения системы информационной безопасности объекта
- Последовательность действий при разработке системы обеспечения информационной безопасности объекта.
- Международный стандарт "Общие критерии оценки безопасности информационных технологий"
- Часть 1. Представление и общая модель.
- Часть 2. Требования к функциям безопасности.
- Часть 3. Требования гарантированности безопасности. Требования к гарантиям безопасности, критерии оценки для профилей защиты и заданий по безопасности.
- П Рис. 1орядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации