Услуги

Главная страница :: Общие критерии

Общие критерии

Общие критерии

Главная тенденция, которая прослеживается при анализе современных стандартов в области информационной безопасности, состоит в отказе от жесткой универсальной шкалы классов безопасности и обеспечении гибкости в подходе к оценке безопасности различных типов изделий ИТ.

Эта концепция была предложена в выпущенных в 1991 году "Гармонизированных критериях европейских стран" [9], затем – в "Канадских критериях оценки безопасности компьютерных продуктов" [10] и "Федеральных критериях безопасности информационных технологий" США [11]. Появление Общих критериев оценки безопасности информационных технологий [12-18] и соответствующих им международных стандартов [19-27] явилось новым этапом в развитии нормативной базы оценки информационной безопасности.

В разработке Общих критериев (ОК) участвовали: Национальный институт стандартов и технологии, Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).

Разработка международного стандарта по критериям оценки безопасности информационных технологий (ИТ) была начата в 1990 году. Новые критерии были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. Разработка версии 1.0 ОК [12] была завершена в январе 1996 года и одобрена международной организацией по стандартизации (ИСО) в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа.

В мае 1998 года была опубликована версия 2.0 ОК [13] и на ее основе в июне 1999 года был принят международный стандарт ISO/IEC 15408 [19-21]. Официальный текст стандарта издан 1 декабря 1999 года. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК [14], идентичной стандарту по содержанию.

Практически одновременно с ОК разрабатывались версии Общей методологии оценки безопасности информационных технологий (ОМО) [28-34].

В августе 1999 г. опубликована версия 1.0 ОМО (часть 2) для оценочных уровней доверия (ОУД) 1-4 [29].

В январе 2004 г. опубликованы версии 2.2 ОК и ОМО [15,31] с учетом принятых к этому времени интерпретаций.

В августе 2005 г. опубликованы версии 2.3 ОК [16] и ОМО [32], положенные в основу стандартов ISO/IEC 15408:2005 [22-24] и ISO/IEC 18045:2005 [35] соответственно.

В июле 2005 г. опубликованы новые версии 3.0 ОК [17] и ОМО [33], в которых предыдущие версии ОК и ОМО подверглись существенной ревизии. Как показало обсуждение этих версий в международном сообществе, далеко не все предложенные авторами изменения были целесообразны и корректны. В результате, в сентябре 2006 года появились версии 3.1 ОК [18] и ОМО [34], которые и были признаны Управляющим комитетом по Общим критериям официальными версиями ОК и ОМО наряду (на переходный период) с версиями 2.3 ОК и ОМО.

В соответствии с версиями 3.1 ОК и ОМО в 2008-2009 г.г. были изданы стандарты ISO/IEC 15408 [25-27] и ISO/IEC 18045 [36].

Общие критерии обобщили содержание и опыт использования Оранжевой книги и ее интерпретаций [7,8], развили оценочные уровни доверия Европейских критериев, воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США.

В ОК проведена классификация широкого набора функциональных требований и требований доверия к безопасности, определены способы их группирования и принципы использования.

Основными отличительными чертами Общих критериев являются:

  1. Наиболее полная на сегодняшний день совокупность требований безопасности информационных технологий.
  2. Четкое разделение требований безопасности на функциональные требования и требования доверия к безопасности. Функциональные требования относятся к функциям безопасности (идентификация, аутентификация, управление доступом, аудит и т.д.), а требования доверия – к технологии разработки, тестированию, анализу уязвимостей, поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам жизненного цикла изделий информационных технологий.
  3. Систематизация и классификация требований по иерархии "класс" – "семейство" – "компонент" – "элемент" с уникальными идентификаторами требований, что обеспечивает удобство использования.
  4. Ранжирование компонентов требований в семействах и классах по степени полноты и жесткости, а также их группирование в пакеты функциональных требований и оценочные уровни доверия.
  5. Гибкость и динамизм в подходе к заданию требований безопасности для различных типов изделий информационных технологий и условий их применения, обеспечиваемые путем целенаправленного формирования необходимых наборов требований в виде определенных в ОК стандартизованных структур (профилей защиты и заданий по безопасности).
  6. Открытость для последующего наращивания совокупности требований.

Общие критерии базируются на определенной методологии обеспечения безопасности информационных технологий. Положения ОК имеют достаточно общий характер и не ограничиваются только собственно областью проблем безопасности ИТ, к которым применимы ОК. Понимание методологии ОК является залогом эффективного использования того огромного фактического материала по требованиям безопасности ИТ, порядку их задания и оценке реализации, который содержится в ОК.

Предметом рассмотрения в ОК являются программно-технические и технологические меры обеспечения безопасности ИТ. К аспектам обеспечения безопасности ИТ, которые находятся вне рамок ОК, относятся:

  • административные (организационные) меры обеспечения безопасности, не связанные непосредственно с обеспечением безопасности ИТ. Административные меры рассматриваются в той степени, в которой они способны повлиять на возможности функций безопасности противостоять угрозам безопасности ИТ;
  • оценка технических аспектов обеспечения безопасности (таких, как защита от утечки информации по техническим каналам, возникающим за счет побочного электромагнитного излучения и наводок). Вместе с тем, многие положения ОК применимы и в этой области;
  • методология оценки, административная и правовая система применения критериев оценки органами, осуществляющими оценку. Однако ожидается, что ОК будут использоваться для целей оценки в контексте такой системы и такой методологии;
  • процедуры использования результатов оценки при аттестации изделий ИТ;
  • специфические качества криптографических методов и алгоритмов защиты информации. Таким образом, Общие критерии охватывают ту часть проблемы обеспечения информационной безопасности, которую в России традиционно называют защитой от несанкционированного доступа к информации.

ОК полезны как в качестве руководства при разработке изделий ИТ, содержащих функции безопасности, так и при приобретении изделий ИТ с такими функциями.

Поскольку ОК ориентированы на описание, конкретизацию и оценку свойств безопасности ИТ, они могут служить справочником для всех, кто интересуется или занимается вопросами безопасности ИТ. Среди пользователей ОК можно выделить следующие группы:

  • системные специалисты, отвечающие за определение и выполнение политики и требований безопасности организации в области ИТ;
  • аудиторы, контролирующие адекватность мер безопасности системы;
  • проектировщики систем безопасности, определяющие спецификацию функций безопасности изделий ИТ;
  • лица, осуществляющие аттестацию систем ИТ в конкретной среде функционирования;
  • заказчики изделий ИТ, определяющие требования к оценке и поддерживающие ее проведение;
  • органы сертификации, осуществляющие руководство и надзор за программами проведения оценок.

Как показывают оценки специалистов в области информационной безопасности [4-6], по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении ОК представляют наиболее совершенный из существующих в этой области стандартов. Причем, что очень важно, в силу особенностей построения он имеет практически неограниченные возможности для развития и представляет собой базовый стандарт, содержащий методологию задания требований безопасности ИТ, а также систематизированный каталог требований безопасности. В качестве функциональных стандартов, в которых формулируются требования к безопасности определенных типов продуктов и систем ИТ, предусматривается использование профилей защиты (ПЗ), создаваемых по методологии и на основе каталога требований ОК. В ПЗ могут быть включены и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного типа продуктов или систем ИТ.

В поддержку стандарта по ОК был разработан целый ряд нормативно-методических документов. Среди них:

  • руководство по разработке профилей защиты и заданий по безопасности [37];
  • процедуры регистрации профилей защиты [38];
  • инструментальные средства автоматизации разработки профилей защиты и заданий по безопасности [39].

Общие критерии получили широкое признание в мире. В 1998 году правительственными организациями Канады, Франции, Германии, Великобритании и США было подписано соглашение о взаимном признании оценок (The International Mutual Recognition Arrangement – MRA), полученных на основе Общих критериев. В соответствии с этим Соглашением стороны намереваются признавать сертификаты на продукты и системы ИТ, полученные в странах, присоединившихся к Соглашению, если они получены на основе применения Общих критериев и выданы организациями, удовлетворяющими требованиям Соглашения. Установленные в MRA правила позволяют присоединиться к Соглашению как в виде участника, только признающего сертификаты, выданные в соответствии с ОК, так и в виде участника, выдающего эти сертификаты.

В мае 2000 года представителями уже четырнадцати стран (Канады, Франции, Германии, Великобритании, США, Нидерландов, Италии, Греции, Испании, Швеции, Норвегии, Финляндии, Австралии и Новой Зеландии) было подписано более универсальное (по сравнению с MRA) соглашение CCRA (CC Recognition Arrangement). Соглашение CCRА значительно расширяет возможности присоединения новых стран-участниц. В 2001 году к ним присоединился Израиль, в 2002 – Австрия, в 2003 – Турция, Венгрия и Япония, в 2004 – Чехия, в 2005 – Сингапур и Индия, в 2006 – Дания и республика Корея, в 2007 – Малайзия, в 2009 – Пакистан.

Всего по состоянию на 31.12.2013 г. число стран-участниц соглашения CCRА составляет 26. В рамках Соглашения в 17 странах действуют аккредитованные органы по сертификации, имеющие право выдавать сертификаты соответствия продуктов и систем ИТ Общим критериям, а также 59 аккредитованных в этих странах испытательных лабораторий.

В США в соответствии с Руководящими указаниями Национального института стандартов и технологий для федеральных организаций с 1 января 2001 года при приобретении продуктов ИТ для использования в системах обработки информации, относящейся к национальной безопасности, предпочтение должно отдаваться продуктам ИТ, надлежащим образом оцененным в соответствии с Общими критериями оценки безопасности информационных технологий, а с 1 июля 2002 года приобретение всех продуктов ИТ для использования в указанных выше системах ограничивается только теми, которые были оценены в соответствии с Общими критериями.

Германия, Франция, Австралия имеют государственное регулирование, рекомендующее использование оценок по ОК для продуктов ИТ, применяемых в государственной сфере. Общие критерии приняты в качестве стандарта НАТО.

Управляющий комитет по Общим критериям с 2000 года проводит ежегодные конференции по ключевым вопросам развития и практического применения Общих критериев при оценке безопасности и сертификации продуктов и систем информационных технологий. На каждой из этих конференций присутствовало от 300 до 400 участников из более чем 30 стран мира.

Подробно с актуальным состоянием Общих критериев, списком участников соглашения CCRА, списком органов по сертификации и испытательных лабораторий, списком сертифицированных в рамках CCRА продуктов и профилей защиты и другой информацией по ОК можно ознакомиться на сайте http://www.commoncriteriaportal.org/

ЛИТЕРАТУРА

  1. ГОСТ Р ИСО/МЭК 15408-2002 (2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  2. ГОСТ Р ИСО/МЭК 15408-2002(2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  3. ГОСТ Р ИСО/МЭК 15408-2002(2008). Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  4. Д.П.Зегжда, А.М.Ивашко. Основы безопасности информационных систем. -М.: Горячая линия – Телеком, 2000. 452 с., ил.
  5. В.В.Липаев. Стандарты на страже безопасности информационных систем. -PC WEEC/RE, # 30, 22 августа 2000.
  6. М.Т.Кобзарь, А.П.Трубачев. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России. МИФИ. ж. "Безопасность информационных технологий", # 4, 2000.
  7. Trusted Computer System Evaluation Criteria (TCSEC), US DoD 5200.28-STD, 1985.
  8. National Computer Security Center. Trusted Network Interpretation. – NCSC-TG-005,1987.
  9. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France – Germany – the Netherlands – the United Kingdom.- Department of Trade and Industry, London, 1991.
  10. Canadian Trusted Computer Product Evaluation Criteria (CTCPEC), Version 3.0, Canadian System Security Centre, Communications Security Establishment, Government of Canada, 1993.
  11. Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II), jointly published by the National Institute of Standards and Technology and the National Security Agency, US Government, 1993.
  12. Common Criteria for Information Technology Security Evaluation. Version 3.1, September 2006.
  13. ISO/IEC 15408-2:2008 "Information technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional components".
  14. ISO/IEC 15408-3:2008 "Information technology – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance components".
  15. ISO/IEC 18045:2008 "Information technology – Security techniques – Methodology for IT security evaluation".
  16. ISO/IEC TR 15446:2004 (2009) "Information technology – Security techniques – Guide for the production of Protection Profiles and Security Targets".
  17. ISO/IEC 15292:2001 "Information technology – Security techniques – Protection Profile registration procedures".
Посмотреть на Яндекс.Картах
Юридический адрес: 141090, Московская область,
г. Юбилейный,
ул. Ленинская, д. 4, п/п 10
Телефон: +7 (495) 580-52-18
Адрес местонахождения: 141090, Московская область,
г. Королев, мкр-н. Юбилейный,
ул. Ленинская, д. 11
e-mail: info@cbi-info.ru e-mail: mail@cbi-info.ru
Создание и продвижение сайтов - компания Алексфилл
© Центр безопасности информации, 2006-2024
Корзина заказа
Загрузка