1 . Общие критерии основаны на ряде нормативных документов в области безопасности информационных технологий, принятых в шести странах Европы и Америки, и учитывают накопленный в этом направлении опыт.
2 . Новым в концепции ОК является гибкость и динамизм в подходе к формированию требований и оценке безопасности изделий и систем ИТ. Это выражается в положениях о стандартизованных Профилях Защиты для широкого использования, включающих предопределенный набор функциональных требований и требований гарантированности, и Заданиях по Безопасности (аналог раздела ТЗ) для каждого конкретного объекта, позволяющих расширять или ужесточать определенные требования безопасности с учетом специфики объекта и условий его применения. Количество стандартизованных Профилей Защиты в ОК не ограничено. При сравнительном анализе всех основных стандартов безопасности ИТ по пяти показателям (универсальность, гибкость, гарантированность, реализуемость, актуальность) Общие критерии получили наивысшую оценку [9].
3 . Версия 1.0 Общих критериев имеет ряд недоработок (отсутствие требований криптографической поддержки, предопределенных функциональных пакетов, отработанных профилей защиты, процедур регистрации новых профилей защиты, "рыхлость" материала и др.), которые должны быть устранены в последующих версиях и связаны, в первую очередь, с дефицитом времени у разработчиков.
4 . Учитывая перспективность и международный статус Общих критериев, целесообразно использовать основные положения и конструкции ОК при разработке нормативных документов, методического и инструментального обеспечения оценки безопасности изделий и систем ИТ в РФ. В частности, представляется необходимой разработка следующего комплекса стандартов (или Руководящих документов Гостехкомиссии России):
5 . Преемственность уже проведенных оценок безопасности изделий и систем ИТ по действующим нормативным документам (РД ГТК России) может быть обеспечена путем разработки на основе концепции ОК типовых стандартизованных профилей защиты, соответствующих классам защищенности в Руководящих документах Гостехкомиссии России.
6 . До оформления Общих критериев в качестве международного стандарта и появления соответствующих стандартов в России, целесообразно при формировании требований и оценке безопасности изделий и систем ИТ руководствоваться не только требованиями действующих нормативных документов, но и дополнительными требованиями, сформированными на основе ОК с учетом специфики конкретного объекта.
7 . Целесообразно на основе материалов Общих критериев вести разработку профилей защиты и требований ТЗ по обеспечению безопасности для новых типов изделий (систем) и новых информационных технологий.
|
|
|
|
| Предопределенные профили защиты | Содержание | Литература |
| Copyright ╘ 1993-2000, Jet Infosystems |