7.2. Критерии оценки информационной безопасности

Первые исследования в области обеспечения безопасно­сти данных в ИС были вызваны потребностями военной сфе­ры, где проблема безопасности стоит особенно остро. Начало было положено исследованиями вопросов защиты компью­терной информации, проведенными в конце 70-х — начале 80-х гг. XX в. Национальным центром компьютерной безо­пасности Министерства обороны США. Результатом этих ис­следований явилась публикация в 1983 г. документа под наз­ванием «Критерии оценки надежных компьютерных сис­тем», по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впослед­ствии основой организации системы их сертификации по критериям защиты информации.

В 1999 г. ИСО приняла стандарт (ISO 15408) под названи­ем «Общие критерии оценки безопасности информационных технологий» (сокращенно — Common Criteria), который спо­собствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содер­жит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информацион­ной безопасности.

Стандарт ISO 15408 определяет инструменты оценки бе­зопасности ИТ и порядок их использования, ряд ключевых понятий, лежащих в основе концепции оценки защищенно­сти продуктов ИТ: профиля защиты, задания по безопасно­сти и объекта оценки.

Профиль защиты — документ, содержащий обобщенный стандартный набор функциональных требований и требовании доверия для определенного класса продуктов или систем (например, профиль защиты может быть разработан на меж­сетевой экран корпоративного уровня, систему электронных платежей), описания угроз безопасности и задач защиты, обоснования соответствия между угрозами безопасности, за­дачами защиты и требованиями безопасности.

Задание по безопасности — документ, содержащий тре­бования безопасности для конкретного объекта оценки и спе­цифицирующий функции безопасности и меры доверия.

Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия, процессы обработки данных, подготовки ре­шений и выработки управляющих воздействий; програм­мные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные в БД; инфор­мация, выдаваемая потребителям и на исполнительные ме­ханизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; по­мещения и др.)«

В данном стандарте представлены две категории требова­ний безопасности: функциональные (определяют совокуп­ность функций объекта оценки, обеспечивающих его безопас­ность) и требования адекватности (свойство объекта оценки, дающее определенную степень уверенности в том, что меха­низмы его безопасности достаточно эффективны и правильно реализованы) механизмов безопасности.

Безопасность в данном стандарте рассматривается не ста­тично, а в привязке к жизненному циклу объекта.

Использование стандарта позволяет:

т сравнивать между собой результаты различных серти­фикационных испытаний ИС и контролировать качество оценки безопасности;

• единообразно использовать имеющиеся результаты и методики оценок различных стран;

• определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относи­тельно ИБ;

• потенциальным пользователям ИС, опираясь на ре­зультаты сертификации, определить, удовлетворяет ли данный программный продукт или система их требованиям бе­зопасности;

• постоянно улучшать существующие критерии, вводя новые концепции и уточняя содержание имеющихся кри­териев.

В разных странах дополнительно разработаны отрасле­вые стандарты, нормативные документы и спецификации по обеспечению информационной безопасности, которые при­меняются национальными организациями при разработке программных средств, ИС и обеспечения качества и безопас­ности их функционирования.