Отечественные стандарты безопасности информационных технологий

Стандарты в структуре И Б выступают как связующее звено между технической и концептуальной стороной вопроса.

Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения ИБ имело большое значение как для разработчиков компьютерных ИС, так и для их пользователей. Стандарт ISO 15408—2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» действует в России с января 2004 г. и является аналогом стандарта ISO 15408. ГОСТ Р И СО/ МЭК 15408, называемый также «Общими критериями» (ОК), является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности ИС и порядок их использования.

ОК направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.

ОК предназначены служить основой при оценке характеристик безопасности продуктов и систем ИТ. Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска.

ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей.

Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 «Введение и общая модель») устанавливает общий подход к формированию требований безопасности и оценке безопасности. На их основе разрабатываются основные конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии ОК определяются, исходя из целей безопасности, которые основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).

Часть 2 (ГОСТ Р ИСО/МЭК 15408-2 «Функциональные требования безопасности») содержит универсальный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 (ГОСТ Р ИСО/МЭК 15408-3 «Требования доверия к безопасности») включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия (ОУД), определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности 00, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.

Обобщая вышесказанное, можно отметить, что каркас безопасности, заложенный частью 1 ГОСТ Р ИСО/МЭК 15408, заполняется содержимым из классов, семейств и компонентов части 2, а часть 3 определяет, как оценить прочность всего «строения».

Стандарт «Критерии оценки безопасности информационных технологий» отражает достижения последних лет в области И Б. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспертам по оценке безопасности ИТ-продуктов.

Главные достоинства ГОСТ Р ИСО/МЭК 15408:
• полнота требований к И Б;
• гибкость в применении;
• открытость для последующего развития с учетом новейших достижений науки и техники.

Эта статья была опубликована Воскресенье, 9 августа, 2009 at 17:02 в рубрике Стандарты информационной безопасности. Вы можете следить за ответами через RSS 2.0 feed.