ВУЗ:
Составители:
тии различные страны продолжили развитие критериев оценки на основе концепций
TCSEC, сделав их более гибкими и приспособленными к развитию ИТ.
В Европе Критерии оценки безопасности информационных технологий (ITSEC)
версия 1.2 были изданы в 1991 г. Европейской комиссией в результате совместных уси-
лий Франции, Германии, Голландии и Англии.
В Канаде Критерии оценки компьютерных систем (CTCPEC) версия 3.1 были изда-
ны в 1993 г. как комбинация подходов TCSEC и ITSEC.
В США проект Федеральных критериев для оценки безопасности информационных
технологий (FC) версия 1 был также издан в 1993 г. как второй шаг к объединению Аме-
риканской и Европейской концепций для критериев оценки.
В 1990 г. Международная организация по стандартизации (ИСО) начала работу по
разработке международных стандартов по критериям оценки безопасности ИТ для обще-
го использования. Новые критерии должны были быть адаптированы к потребностям
взаимного признания результатов оценки безопасности ИТ в глобальном масштабе. Эта
задача была возложена на рабочую группу 3 (WG 3) из подкомиссии 27 (SC 27) ИСО.
В июне 1993 г. авторы ITSEC, TCSEC, FC, CTCPEC объединили свои усилия и на-
чали разработку проекта Общих критериев оценки безопасности информационных тех-
нологий (CCEB). Цель проекта состояла в том, чтобы исключить концептуальные и тех-
нические различия, имеющиеся в исходных критериях, и представить результаты в ИСО
как проект международного стандарта.
В январе 1996 г. была выпущена версия 1.0 Общих критериев (ОК), а в 1997 г. были
выпущены дополнительные материалы к ней. Выпуск версии 2.0 осуществлен в декабре
1999 г.
Оценка безопасности ИТ – это методология исследования свойств безопасности из-
делия или системы информационных технологий, называемых в ОК объектами оценки.
При этом могут быть идентифицированы три группы пользователей с общим инте-
ресом к этим оценкам: потребители объекта оценки, разработчики объекта оценки и
оценщики объекта оценки. Общие критерии разработаны таким образом, чтобы удовле-
творить потребности всех трех групп пользователей.
Потребители могут использовать оценку для сравнения различные изделия или сис-
темы и решения о выполнении требования по безопасности. Общие критерии играют
важную роль при задании потребителем функциональных требований к безопасности ИТ
и определении возможности использования предопределенной структуры требований,
названной «профилем защиты». Они помогают разработчикам при подготовке к оценке и
оценке их изделий или систем на соответствие функциональным требованиям безопасно-
сти и требованиям гарантии оценки, содержащимся в «задании по безопасности». Также
ОК содержат критерии, которые нужно использовать оценщикам при формировании за-
ключений относительно соответствия объектов оценки требованиям безопасности.
4.1.2. ОРГАНИЗАЦИЯ ОБЩИХ КРИТЕРИЕВ
Общие критерии – это совокупность самостоятельных, но взаимосвязанных частей.
Представление и общая модель – определяет общую концепцию и принципы оценки
безопасности ИТ, общую модель оценки, а также конструкции для формирования целей
безопасности ИТ, для выбора и определения требований безопасности ИТ и для описания
спецификаций высокого уровня для изделий и систем. Кроме того, в ней приведены кате-
гории пользователей с указанием на различные части ОК, где представлены их интересы
к критериям оценки безопасности.
Требования к функциям безопасности – устанавливает набор функциональных ком-
понентов как стандартный путь выражения функциональных требований к объектам
оценки.
Требования гарантии безопасности – включает компоненты требований гарантии
оценки, сгруппированные в семейства и классы, а также уровни гарантии оценки, кото-
рые определяют ранжирование по степени удовлетворения требований, определяет также
критерии оценки для профилей защиты и заданий по безопасности.
Предопределенные профили защиты – содержат примеры профилей защиты, вклю-
чающие функциональные требования безопасности и требования гарантии оценки, кото-
рые были идентифицированы в исходных критериях (ITSEC, CTCPEC, FC, TCSEC), а
также требования, не представленные в исходных критериях.
4.1.3. ВОЗМОЖНОСТИ И ПРИМЕНИМОСТЬ
ОК поддерживают выбор и оценку безопасности объекта ИТ. ОК полезны при раз-
Страницы
- « первая
- ‹ предыдущая
- …
- 23
- 24
- 25
- 26
- 27
- …
- следующая ›
- последняя »
