На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль – август 2005 г.
Тема номера: РАЗВИТИЕ НОРМАТИВНОЙ БАЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОСОБЕННОСТИ СЕРТИФИКАЦИИ ПРОДУКТОВ И ИТ-СИСТЕМ
НА ОСНОВЕ ОБЩИХ КРИТЕРИЕВ

А. А. Сидак, к. т. н., с. н. с., начальник научно-методического отдела Центра безопасности информации
Предыдущая статьяСледующая статья

Применение Общих критериев при проведении сертификации продуктов и систем информационных технологий по требованиям безопасности информации имеет ряд особенностей по сравнению с применяемыми ранее нормативными документами Гостехкомиссии (ФСТЭК) России образца 1992 года. Обзору этих особенностей и посвящена данная статья.

Основные особенности

1. Оценка проводится не на соответствие универсальным требованиям руководящих документов Гостехкомиссии (ФСТЭК) России или разработанным разработчиком технических условий, а на соответствие так называемым заданиям по безопасности (табл. 1), содержащим как исходные предпосылки (угрозы безопасности, предположения, политику безопасности организации), так и собственно требования безопасности, выполняемые объектом оценки, и его функциональные возможности. Задание по безопасности (ЗБ) создается разработчиком продукта или системы информационных технологий (ИТ), как правило, в соответствии с выбранным профилем защиты (ПЗ), содержащим необходимый объем требований для данного типа изделий ИТ.

2. Оценка проводится на основе Общей методологии оценки, содержащей порядок действий (по шагам) для всех видов и подвидов деятельности по оценке. Сочетание Общих критериев (ОК) и Общей методологии оценки (ОМО) обеспечивает возможность единого подхода к оценке и получения объективных и повторяемых результатов (см. врезку).

3. Основная работа по подготовке исходных данных для оценки (табл. 2) – свидетельств, содержащих проектную, тестовую, эксплуатационную документацию, свидетельств их полноты, непротиворечивости, безопасности и др., возлагается на разработчика.

4. Основной задачей оценщика является независимая, объективная оценка безопасности объекта оценки в соответствии с заявленным оценочным уровнем доверия путем проведения активного исследования представленных свидетельств и независимого тестирования объекта оценки (ОО). Практический опыт подготовки и проведения сертификационных испытаний свидетельствует о том, что сроки и качество проведения испытаний во многом зависят от качества подготовки разработчиком (заявителем) свидетельств оценки и особенно задания по безопасности, что является непростой задачей.

5. По результатам испытаний оценщик составляет технический отчет об оценке, на основе которого орган по сертификации выпускает публичный отчет о сертификации продукта или системы информационных технологий и выдает соответствующий сертификат.

< ... >

 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100