Выпуск No12. Общая характеристика международного стандарта ИСО/МЭК 15408
Критерии оценки безопасности информационных технологий

Часть 1.
1. История возникновения и развития стандарта, терминология

Общие критерии (ОК) представляют собой результат усилий по разработке критериев оценки безопасности информационных технологий (ИТ), которые широко используются в международном сообществе. Они согласуют и развивают целый ряд исходных критериев, а именно существующие европейские, американские и канадские критерии Общие критерии устраняют концептуальные и технические различия между исходными документами. Это является существенным вкладом в разработку международного стандарта и открывает путь к всеобщему взаимному признанию результатов оценок.
Критерии, разработанные в Канаде и европейских странах, следовали логике основополагающей американской работы TCSEC ("Оранжевой книги"). Разработка в США Федеральных критериев была первой попыткой объединения различных критериев с TCSEC, приведшей, в конце концов, к существующему объединению ресурсов для создания ОК.
Наиболее сильной стороной при разработке ОК было привлечение всех, кто имел опыт создания оригинальных национальных критериев. В результате намерение обеспечить максимально гибкий подход к стандартизации функциональных требований безопасности и гарантии оценки было реализовано. Общие критерии являются базой (обеспечивают стандартный язык), предназначенной для широкого применения при определении и оценке безопасности информационных технологий. Они обладают достаточной приспособляемостью, дающей возможность их эволюционного внедрения в многочисленные существующие национальные системы оценки безопасности, сертификации и аттестации ИТ.
Структура ОК также обеспечивает значительную гибкость при определении безопасных продуктов. Потребители и другие заинтересованные стороны могут задать функциональные требования безопасности продукта с использованием стандартных профилей защиты (ПЗ) и самостоятельно выбрать уровень гарантии оценки из предопределенной совокупности семи возрастающих уровней гарантии оценки, от УГО1 до УГО7.
В разработке Общих критериев приняли участие специалисты организаций ряда стран США, Канады, Великобритании, Германии, Нидерландов и Франции. Версия 1.0 ОК была опубликована для обсуждения в январе 1996 г. Версия 2.0, учитывающая итоги широкого обсуждения и двухлетний опыт применения версии 1.0, была опубликована в мае 1998г. Эта дата является датой завершения рабочего проекта ОК, на основе которого Международной организацией по стандартизации (ISO) был принят Международный стандарт ISO/IEC 15408, введенный в действие с 1 декабря 1999г.
Стандарт ИСО/МЭК 15408-99 "Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности", получил по взаимному согласию название "Общие критерии".
В рамках программы "Общие критерии" специалисты рабочей группы "Критерии оценки безопасности" подкомитета "Методы и средства защиты информации" объединенного технического комитета "Информационные технологии" ИСО/МЭК разработали несколько версий новых документов, а именно:

• Руководство по проектированию профилей защиты и заданий по обеспечению безопасности;
• Общая методология оценки безопасности информационных технологий;
• Руководство по регистрации профилей защиты и др.
  

2. Общие сведения о Критериях оценки безопасности информационных технологий

2.1 Основные элементы процесса оценки безопасности и их взаимосвязь

ОК являются основой, методологической базой в процессах оценки безопасности продуктов и систем ИТ (рис.1).
ОК используются для задания требований безопасности продуктов или систем ИТ и в качестве методической базы при оценке степени выполнения требований безопасности.
Оценка должна проводиться в рамках утвержденной схемы оценки.
Методология оценки действует в рамках административных и правовых ограничений, которые должны быть учтены при разработке схемы оценки.
Схема оценки включает стандарты и правила административного регулирования, которым должны отвечать условия оценки и следовать специалисты, осуществляющие оценку.
Процедура сертификации представляет независимую экспертизу результатов оценки, которая завершается заключением о пригодности продукта или системы и выдачей сертификата. Информация о сертификате обычно является открытой.

Рис.1. Основные элементы процесса оценки безопасности и их взаимосвязь

2.2. Целевое назначение составных частей Общих критериев

Общие критерии представляют собой наиболее полный на настоящее время набор критериев безопасности информационных технологий, которые удовлетворяют потребности заказчиков (потребителей), разработчиков, экспертов (испытателей), имеющих дело с продуктами и системами ИТ (таблица 1).
Заказчикам стандарт ОК предоставляет методы выбора требований безопасности в соответствии с назначением их продуктов или систем ИТ. Требования заказчика (запросы потребителя) формируются на основании результатов проведенного анализа риска, выбранной политики безопасности организации и с помощью иерархической шкалы гарантийных требований.
Разработчики могут использовать механизмы, предлагаемые в ОК, для создания продукта или системы ИТ, комплекс средств обеспечения безопасности которых реализует предъявляемые к ним функциональные требования и уровень гарантии безопасности. ОК можно использовать также для определения круга специалистов и их действий, необходимых для подготовки обоснования и проведения оценки. ОК определяют также содержание и форму такого обоснования.
Эксперты, проводящие оценку, должны использовать ОК при составлении заключения о соответствии объекта оценки предъявляемым к нему требованиям безопасности. ОК дают общее описание процесса оценки (испытаний), но не определяют последовательность (методику) его осуществления.
ОК также могут быть полезны и другим лицам - тем, кто имеет отношение к безопасности ИТ.

Таблица 1

Целевое назначение составных частей Общих критериев

2.3. Концептуальные понятия безопасности и их взаимосвязь

Информация в продуктах или системах ИТ является важнейшим активом, позволяющим организациям успешно решать свои задачи. Защита активов связана с деятельностью по предотвращению угроз, классифицируемых в зависимости от характера ущерба, который они могут нанести этим активам. Во внимание должны приниматься все угрозы, но в первую очередь те, которые связаны со случайными и преднамеренными действиями человека или процесса.
В защите активов заинтересованы их собственники (владельцы). Но эти активы пред-ставляют интерес и для нарушителей, которые стремятся использовать активы в своих целях вопреки интересам владельцев. Риск нарушения безопасности - возможность реализации угрозы, которая нанесет ущерб владельцу. Нарушения безопасности обычно включают следующие категории (но не ограничиваются только этими категориями):

• несанкционированное раскрытие (потерю конфиденциальности);
• несанкционированную модификацию (потерю целостности);
• несанкционированное лишение доступа к активам (потерю доступности).

Владельцы активов должны провести анализ риска, т.е. определить угрозы, уязвимые места, возможный ущерб от реализации каждой угрозы и контрмеры.
В результате владельцем активов формируется соответствующая политика безопасности активов (или организации - владельца активов). В ходе всех этих взаимоувязанных действий владельцам активов - пользователям необходимо принять меры по уменьшению числа уязвимых мест, так как нарушители могут их использовать.
Противодействие угрозам осуществляют средства безопасности информационных технологий, которые могут реализовываться аппаратным, программным и микропрограммным способами.
Еще до ввода в эксплуатацию объекта владелец заинтересован в оценке эффективности мер противодействия угрозам. Результатом такой оценки является заключение о степени гарантии, с которой меры противодействия уменьшают риск для активов. В этом заключении устанавливается уровень гарантии мер противодействия угрозам. Гарантией называется основание для уверенности в том, что объект отвечает задачам безопасности. Заключение о результатах оценки может быть использовано владельцем актива для принятия решения о допустимости риска, создаваемого угрозами.

Рис.2. Концептуальные понятия безопасности и их взаимосвязь

Некоторые вопросы, связанные с безопасностью, не вошли в настоящий стандарт, поскольку они требуют привлечения других методов оценки или являются граничными.
В настоящем стандарте не рассматриваются:

1. критерии оценки безопасности, касающиеся организационных (административных) мер безопасности, непосредственно не связанных с мерами безопасности информационных технологий. Безопасность объекта в значительной степени может быть обеспечена организационными мерами, подбором персонала, с помощью физических и процедурных методов контроля. Административные меры безопасности в среде функционирования объекта рассматриваются только в тех случаях, когда они влияют на способность комплекса средств обеспечения безопасности информационных технологий противостоять определенным угрозам;
2. описание схемы и методов оценки, методологии и процесса сертификации, так как они относятся к компетенции учреждений, ответственных за национальные стандарты;
3. критерии оценки физических аспектов техногенного характера безопасности информационных технологий таких, как контроль электромагнитного излучения, хотя многие из концепций настоящего стандарта применимы и в этой области. В частности, этот стандарт содержит некоторые аспекты физической защиты объекта;
4. критерии оценки административных и правовых аспектов безопасности, однако стандарт может оказаться полезным и для этих целей;
5. процедуры использования результатов оценки при аттестации объектов и систем информационных технологий. Аттестация объектов и систем информационных технологий является административным актом, разрешающим их использование в конкретных условиях эксплуатации. Оценка касается тех аспектов безопасности объектов и систем информационных технологий и условий их эксплуатации, которые могут непосредственно воздействовать на безопасность элементов информационных технологий. Поэтому результаты оценки могут существенно повлиять на процесс аттестации. Однако поскольку при аттестации оценка безопасности объектов и систем, не связанных с информационными технологиями, а также оценка их связи с безопасностью объектов и систем информационных технологий проводится другими методами, то при аттестации результаты оценки по настоящему стандарту должны рассматриваться отдельно;
6. критерии оценки качества криптоалгоритмов. Если требуется независимая оценка свойств криптоалгоритмов, содержащихся в объекте, то схема оценки должна соответствовать настоящему стандарту.