 |
 |
№ 4 июль – август 2005 г.
Тема номера: РАЗВИТИЕ НОРМАТИВНОЙ БАЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
|
ОБЩИЕ КРИТЕРИИ – ОСНОВА НОВОЙ НОРМАТИВНОЙ БАЗЫ ОЦЕНКИ
БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
М. Т. Кобзарь,
к. т. н., с. н. с., ведущий научный сотрудник Центра безопасности информации |
|
  |
В России принят и введен в действие новый стандарт в области оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-2002 (Общие критерии). Как появился этот стандарт? В чем его преимущества? Что он дает заказчикам, потребителям, разработчикам и оценщикам изделий информационных технологий? Какие документы разрабатываются в поддержку и развитие этого стандарта? Все эти вопросы рассматриваются в данной статье.
В 1990 году под эгидой Международной организации по стандартизации (ИСО) и при содействии государственных организаций США, Канады, Великобритании, Франции, Германии и Голландии были развернуты работы по созданию международного стандарта (исторически сложившееся название – Общие критерии) в области оценки безопасности информационных технологий (ИТ). Его разработка преследовала следующие основные цели:
- унификацию национальных стандартов в области оценки безопасности ИТ;
- повышение уровня доверия к оценке безопасности ИТ;
- сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.
Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. Разработка версии 1.0 ОК была завершена в январе 1996 года и одобрена ИСО в апреле того же года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.
В мае 1998 года была опубликована версия 2.0 ОК и на ее основе в июне 1999 года принят международный стандарт ISO/IEC 15408 [2–4]. Его официальный текст издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию.
Уже после принятия с учетом опыта использования стандарта появился ряд интерпретаций ОК, которые после рассмотрения специальным Комитетом по интерпретациям (CCIMB) принимаются, официально публикуются и вступают в силу как действующие изменения и дополнения к ОК. Параллельно с учетом интерпретаций ведется разработка версии 3.0 ОК.
Параллельное существование стандарта ИСО (с пятилетним циклом обновления) и ОК с действующими интерпретациями дает возможность гибко и оперативно реагировать на необходимые уточнения и полезные для практики изменения ОК, которые впоследствии включаются в новую версию ОК и новую редакцию соответствующего стандарта.
Общие критерии обобщили содержание и опыт использования «Оранжевой книги» и ее интерпретаций, развили оценочные уровни доверия Европейских критериев, воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США.
В ОК проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены способы их группирования и принципы использования.
< ... >
| |
 |
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|
