logo
Защита информации

Федеральные критерии безопасности информационных технологий

«Федеральные критерии безопасности информационных технологий» разрабатывались как одна из составляющих «Американского федерального стандарта по обработке информации», призванного заменить «Оранжевую книгу». Разработчиками стандарта выступили Национальный институт стандартов и технологий США и Агентство национальной безопасности США. Этот документ создан на основе результатов многочисленных исследований в области обеспечения безопасности информационных технологий 80-х – начала 90-х годов, а также на основе анализа опыта использования «Оранжевой книги». Документ представляет собой базу для разработки и сертификации компонентов информационных технологий с точки зрения обеспечения безопасности. «Федеральные критерии безопасности информационных технологий» (далее «Федеральные критерии») охватывают практически полный спектр проблем, связанных с защитой и обеспечением безопасности, так как включают все аспекты обеспечения конфиденциальности, целостности и доступности.

Основными объектами применения требований безопасности «Федеральных критериев» являются продукты информационных технологий и системы обработки информации. Под продуктом информационных технологий (далее – ПИТ) понимается совокупность аппаратных и программных средств, которая представляет собой поставляемое конечному потребителю готовое к использованию средство обработки информации.

Положения «Федеральных критериев» касаются только собственных средств обеспечения безопасности ПИТ, т.е. механизмов защиты, встроенных непосредственно в эти продукты в виде соответствующих программных, аппаратных или специальных средств. Для повышения их эффективности могут дополнительно применяться внешние системы защиты и средства обеспечения безопасности, к которым относятся как технические средства, так и организационные меры, правовые и юридические нормы.

Ключевым понятием концепции информационной безопасности «Федеральных критериев» является понятие «профиля защиты». Профиль защиты – это нормативный документ, который регламентирует все аспекты безопасности ПИТ в виде требований к его проектированию, технологии разработки и сертификации. Как правило, один профиль защиты описывает несколько близких по структуре и назначению ПИТ. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их адекватности предполагаемым угрозам безопасности.

«Федеральные критерии» представляют процесс разработки систем обработки информации, начинающийся с формулирования требований потребителями и заканчивающийся введением в эксплуатацию, в виде следующих основных этапов.

  1. Разработка и анализ профиля защиты. Требования, изложенные в профиле защиты, определяют функциональные возможности ПИТ по обеспечению безопасности и условия эксплуатации, при соблюдении которых гарантируется соответствие предъявляемым требованиям. Кроме требований безопасности, профиль содержит требования по соблюдению технологической дисциплины в процессе разработки, тестирования, анализа и сертификации ПИТ.

  2. Разработка и сертификация ПИТ. Разработанные ПИТ подвергаются независимому анализу, целью которого является определение степени соответствия характеристик продукта сформулированным в профиле защиты требованиям и спецификациям.

  3. Компоновка и сертификация системы обработки информации в целом. Успешно прошедшие второй этап ПИТ интегрируются в систему обработки информации. Полученная в результате система должна удовлетворять заявленным в профиле защиты требованиям при соблюдении указанных в нем условий эксплуатации.

«Федеральные критерии» регламентируют только первый этап этой схемы – разработку и анализ профиля защиты; процесс создания ПИТ и компоновка систем обработки информации остаются вне рамок этого стандарта.