Гост р исо/мэк 15408-2003
ISO/IEC 15408 содержит систематизированный каталог требований к безопасности информационных технологий, порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации. Этот документ был переведен и одобрен Гостехкомиссии России и выступал в качестве руководящего документа.
ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Разработка данного руководящего документа направлялась на обеспечение практического использования ГОСТ Р ИСО/МЭК 15408-2008 в деятельности заказчиков, разработчиков и пользователей продуктов и систем информационных технологий при формировании ими требований, разработке, приобретении и применении продуктов и систем информационных технологий, предназначенных для обработки, хранения или передачи информации, подлежащей защите в соответствии с требованиями нормативных правовых документов или требованиями, устанавливаемыми собственником информации. Руководящий документ предназначен также для органов сертификации и испытательных лабораторий, аккредитованных в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (Гостехкомиссии России), для использования при проведении оценки и сертификации безопасности ИТ [30].
Общие критерии оценки защищённости информационных технологий — (англ. Common Criteria for Information Technology Security Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (ISO/IEC 15408, ИСО/МЭК 15408-2008) по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
Традиционный подход к защите информационных ресурсов, нашедший отражение и в целом ряде стандартов, начиная от Руководящих документов ФСТЭК РФ и заканчивая стандартом ГОСТ ИСО/МЭК 15408-2008, основан на соотнесении набора угроз информационным ресурсам или сервисам с механизмами безопасности, ликвидирующими эти угрозы. С технологической точки зрения этот подход дает адекватные результаты, в случае правильно выбранного набора угроз. Именно эта особенность нашла отражение в идеологии стандарта ИСО/МЭК 15408-2008 (рис. 1.4)
Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году.
Рис. 1.4. Критерии оценки безопасности информационных технологий
Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации [32].
Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.