Критерии оценки информационной безопасности

Стандарт ISO 15408 «Общие критерии оценки безопасности информационных технологий» определяет инструменты оценки безопасности ИТ и порядок их использования. В нем определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.

Профиль защиты – документ, содержащий обобщенный стандартный набор функциональных требований и требований доверия для определенного класса продуктов или систем (например, профиль защиты может быть разработан на межсетевой экран корпоративного уровня или на систему электронных платежей). Помимо этого профиль защиты описывает множество угроз безопасности и задач защитыдляданного класса продуктов и содержит обоснование соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.

Задание по безопасности – документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия. В нем может быть заявлено соответствие одному или нескольким профилям защиты.

Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия в целом, процессы обработки данных, подготовки решений и выработки управляющих воздействий; программные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные и информация, накопленные в базах данных; информация, выдаваемая потребителям и на исполнительные механизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; помещения и др.).

В данном стандарте представлены две категории требований безопасности: функциональные и требования адекватности (гарантированности) механизмов безопасности.

Функциональные требования определяют совокупность функций объекта оценки, обеспечивающих его безопасность.

Адекватность – свойство объекта оценки, дающее определенную степень уверенности в том, что механизмы его безопасности достаточно эффективны и правильно реализованы.

Безопасность в данном стандарте рассматривается не статично, а в привязке к жизненному циклу объекта.

Использование стандарта позволяет:

- сравнивать между собой результаты различных сертификационных испытаний ИС и контролировать качество оценки безопасности;

- единообразно использовать имеющиеся результаты и методики оценок различных стран;

- определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно ИБ;

- потенциальным пользователям ИС, опираясь на результаты сертификации, определить, удовлетворяет ли данный программный продукт или система их требованиям безопасности;

- постоянно улучшать существующие критерии, вводя новые концепции и уточняя содержания имеющихся критериев.