Следуя по пути интеграции, в июне 1993 года Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Соmmon Сriteria” (СС)», которая насчитывает более сотни различных документов ISО 15408. Самым полным среди оценочных стандартов, — является стандарт
«Критерий оценки безопасности информационных технологий» (издан 1 декабря 1999 года).
Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран и вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. По историческим причинам данный стандарт часто называют «Общими критериями» (или даже ОК).
В разработке Общих Критериев участвовали:
— Национальный институт стандартов и технологии и Агентство национальной безопасности (США);
— Учреждение безопасности коммуникаций (Канада);
Стандарты в области ИБ. ГОСТ 15408. Общие критерии оценки безопасности ИТ (Кандыба Екатерина)
— Агентство информационной безопасности (Германия);
— Агентство национальной безопасности коммуникаций (Голландия);
— Органы исполнения Программы безопасности и сертификации ИТ (Англия);
— Центр обеспечения безопасности систем (Франция).
Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. Разработка первой версии 1.0 «Общих критериев» (ОК) была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведён ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа. В мае 1998 года была опубликована версия 2.0 ОК, и на её основе в июне 1999года был принят Международный Стандарт ISO/IЕС 15408.
Текст документа ISО/IЕС 15408 был издан 1 декабря 1999г. как «Общие критерии оценки безопасности информационных технологий» (ОК). Изменения, внесённые в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию.
Международный стандарт ISО/IЕС 15408 — это более универсальный и совершенный стандарт, определяющий инструменты оценки безопасности ИС и порядок их использования. Он считается аналогом Оранжевой книги, но вопреки распространенному заблуждению, не заменяет собой Оранжевую книгу в силу разной юрисдикции документов. Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IЕС 15408 ратифицировали множество стран, включая Россию. В отличие от “Оранжевой книги”, ОК не содержит предопределённых “классов безопасности”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной информационной системы.
Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам любые средства, полностью отвечающие требованиям ОК.
Критерии оценки персонала. По каким критериям оценивать сотрудников?
«Общие критерии» (ОК) созданы для взаимного признания результатов оценки безопасности ИС в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.
Главные преимущества ОК:
— полнота требований к информационной безопасности;
— гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники.
Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). С точки зрения разработчика программ управления IС, ОК можно считать набором библиотек, помогающих писать содержательные «программы» — задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, «с нуля», программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и «Общие критерии» предоставили соответствующий инструментарий.
Важно отметить, что требования по безопасности могут быть параметризованы, как и полагается библиотечным функциям.
Этот стандарт полезен в качестве руководства при разработке функций безопасности ИС, а также при приобретении коммерческих продуктов с подобными свойствами.
Разработка этого стандарта преследовала следующие основные цели:
Источник: studfile.net
Критерии оценки безопасности программного обеспечения
В настоящее время нет четко определенного набора критериев оценки безопасности ПО. Наиболее полно система оценки отсутствия недекларированных возможностей изложена в руководящем документе Гостехкомиссии [Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия недекларированных возможностей, М.: Воениздат, 1999.]. К сожалению, этот документ касается только недекларированных возможностей и устанавливает только уровни контроля, а не определяет уровни безопасности.
Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.
Самый высокий уровень контроля Первый, достаточен для ПО, используемого при защите информации с грифом «ОВ»
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом
Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом
Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.
Перечень документации, в которой должны быть декларированы возможности ПО, включает:
• Тексты программ, входящих в состав ПО.
К сожалению, используемые определения не охватывают всех вариантов возможных уязвимостей программного обеспечения и не рассматривают какие-либо этапы жизненного цикла ПО кроме сертификационных испытаний. Так же документ предъявляет не всегда выполнимое требование о предоставлении исходных текстов проверяемых программ и документации в объеме, предусмотренном ГОСТ ЕСПД.
К числу основных недостатков этого документа следует отнести следующие:
— документ относится только к ПО средств защиты информации;
— документ не определяет уровни безопасности информации, а только устанавливает уровни
— в документе не устанавливаются методы проверки;
— документ не устанавливает правил оценки результатов проверки;
— проверить можно только ПО, представленное вместе с исходными текстами.
Таким образом, возникает задача о необходимости разработки системы уровней безопасности ПО и критериев ее оценки и методы проверки.
Предлагаемые критерии безопасности ПО АСУ специального назначения, можно разделить на несколько групп.
1. Критерии, основанные на соответствии ТЗ;
a. Соответствие спецификациям
b. Соответствия функциональному назначению по метрическим характеристикам
c. Критерий минимума функций
2. Критерии, основанные на свойствах программного кода (исходного и исполняемого):
a. Критерий отсутствия типичных уязвимостей
b. Статистический критерий устойчивости (по тестам)
c. Наличие функций самозащиты и самовосстановления
і Соответствие исполняемого кода исходному тексту.
е. Критерий качества программного кода.
3. Критерии, основанные на характеристиках организации процесса разработки и сопровождения:
a. Полнота документирования
b. Используемые инструментальные средства.
В докладе рассматриваются группы критериев и их показатели, подходы к определению их численного значения и рекомендации по применению с целью оценки безопасности программного обеспечения.
Источник: uchimsya.com