Общие критерии оценки безопасности информационных технологий

В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта в области оценки безопасности ИТ. Разработка этого стандарта преследовала следующие основные цели:

• унификация национальных стандартов в области оценки безопасности ИТ;

• повышение уровня доверия к оценке безопасности ИТ;

• сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.

Разработка версии 1.0 ОК была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.

В мае 1998 года была опубликована версия 2.0 ОК и на ее основе в июне 1999 года принят международный стандарт ИСО/МЭК 15408. Официальный текст стандарта издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию. В настоящее время на основании полученного опыта практического применения ОК подготавливается версия 3.0, выход которой ожидается в 2002 году.

«Общие критерии» обобщили содержание и опыт использования «Оранжевой книги», развили уровни уверенности «Европейских критериев», воплотили в реальные структуры концепцию профилей защиты Федеральных критериев США.

Основными отличительными чертами ОК являются:

• прежде всего, ОК - это определенная методология и система формирования требований и оценки безопасности ИТ. Системность прослеживается начиная от терминологии и уровней абстракции представления требований и кончая их использованием при оценке безопасности на всех этапах жизненного цикла изделий ИТ;

• общие критерии характеризуются наиболее полной на сегодняшний день совокупностью требований безопасности ИТ;

• в ОК проведено четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к сервисам безопасности (идентификации, аутентификации, управлению доступом, аудиту и т.д.), а требования доверия - к технологии разработки, тестированию, анализу уязвимостей, эксплуатационной документации, поставке, сопровождению, то есть ко всем этапам жизненного цикла изделий ИТ;

• общие критерии включают шкалу доверия к безопасности (оценочные уровни доверия к безопасности), которая может использоваться для формирования различных уровней уверенности в безопасности продуктов ИТ;

• систематизация и классификация требований по иерархии «класс — семейство — компонент — элемент» с уникальными идентификаторами требований обеспечивает удобство их использования;

• компоненты требований в семействах и классах ранжированы по степени полноты и жесткости, а также сгруппированы в пакеты требований;

• гибкость в подходе к формированию требований безопасности для различных типов изделий ИТ и условий их применения обеспечивается возможностью целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности);

• общие критерии обладают открытостью для последующего наращивания совокупности требований.

Как показывают оценки специалистов в области информационной безопасности, по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении О К представляют наиболее совершенный из существующих в настоящее время стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития, представляет собой не функциональный стандарт, а методологию задания, оценки и каталог требований безопасности ИТ, который может наращиваться и уточняться.

В определенном смысле роль функциональных стандартов выполняют профили защиты, которые формируются с учетом рекомендаций и каталога требований ОК, но могут включать и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного изделия или типа изделий ИТ.

Наряду с официальным названием «Критерии оценки безопасности информационных технологий» рабочая группа ИСО (ISO/IEC JTC 1/SC 27/WG 3), ответственная за разработку критериев безопасности, продолжает использовать исторически сложившееся название - «Общие критерии».