Общие критерии оценки безопасности информационных технологий

Реферативный обзор

Центр безопасности информации

1997


СОДЕРЖАНИЕ
Предисловие
Перечень сокращений
Представление и общая модель
Введение
Подготовка общих критериев
Целевая направленность общих критериев
Организация общих критериев
Возможности и применимость
Концепции общих критериев
Требования к функциям безопасности
Область применения
Общие положения
Структура функциональных требований
Краткий обзор классов и семейств
Требования гарантии безопасности
Область применения
Структура требований гарантии
Критерии оценки профиля защиты и задания по безопасности
Краткий обзор классов и семейств гарантии
Уровни гарантии
Предопределенные профили защиты
Область применения
Краткий обзор профилей защиты
Заключение
Литература
I. Приложение

Предисловие

Безопасность информационных технологий стоит в ряду актуальнейших проблем компьютеризации управленческой деятельности. Ее решение определяется, в первую очередь, наличием законодательных актов и нормативно-технических документов по обеспечению безопасности ИТ. Критерии оценки безопасности ИТ занимают среди них особое место. Только стандартизованные критерии позволяют проводить сравнительный анализ и сопоставимую оценку изделий ИТ.

В России единственными нормативными документами по критериям оценки защищенности средств вычислительной техники и автоматизированных систем являются Руководящие документы Гостехкомиссии РФ [1] , [2] , [3] , [4] и [5] , разработанные с учетом предшествующих основополагающих документов [10] , [13] .

Появление материалов проекта международного стандарта по Общим критериям оценки безопасности информационных технологий [16] является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.

Общие критерии обобщили содержание и опыт использования Оранжевой книги [10] , развили уровни гарантии оценки Европейских критериев [13] , воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США [15] .

В Общих критериях проведена классификация широкого набора функциональных требований и требований гарантированности, определены структуры их группирования и принципы целевого использования.

Главные преимущества Общих критериев — полнота требований безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники.

Настоящий обзор подготовлен с целью обобщения имеющихся материалов по Общим критериям оценки безопасности ИТ и разработки предложений по их использованию при:

Обзор имеет также целью облегчить ознакомление с Общими критериями оценки безопасности информационных технологий, учитывая, что общий объем материалов версии 1.0 Общих критериев, включая приложения, составляет более 800 страниц.

При подготовке материала сохранена последовательность изложения основных положений Общих критериев и принятая в них терминология.

Обзор подготовил ктн М.Т.Кобзарь. Автор выражает глубокую благодарность В.А.Евстигнееву, М.Ю.Долинину, В.В.Бердинских за помощь в техническом переводе исходных текстов и участие в их редактировании, а также кандидатам технических наук А.П.Трубачеву, Ю.М.Гончарову, И.А.Калайде за внимательное прочтение материалов обзора и ценные замечания. Особая благодарность доктору технических наук Ю.А.Бородину, который обеспечил получение исходных текстов по сети Интернет и провел их предварительный анализ.


Перечень сокращений
Copyright ╘ 1993-2000, Jet Infosystems