Общие критерии (ISO 15408)

Критерии оценки безопасности информационных технологий содержат систематизированный каталог требований к безопасности информационных технологий (ИТ),

порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.
Под безопасностью информационной технологии (БИТ) понимается состояние ИТ, определяющее защищенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.
Критерии оценки БИТ представляют собой результат последовательных усилий по разработке критериев оценки безопасности ИТ в интересах международного сообщества. В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC). В следующем десятилетии различные страны проявили инициативу по разработке критериев оценки, которые строились на концепциях TCSEC, но были более гибки и адаптируемы к природе эволюции ИТ в целом.
В Европе в 1991г. Европейской Комиссией были опубликованы "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, разработанные совместно Францией, Германией, Нидерландами и Великобританией. В Канаде на основе сочетания подходов TCSEC и ITSEC в начале 1993г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0. В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки.
В июне 1993г. организации-спонсоры CTCPEC, FC, TCSEC и ITSEC из шести стран (Великобритания, Германия, Канада, Нидерланды, США, Франция) объединили свои усилия и начали действовать совместно, чтобы согласовать различающиеся между собой критерии и создать единую совокупность критериев безопасности ИТ, которые могли бы широко использоваться. Эта деятельность получила название "Проект ОК". Его целью являлось устранение концептуальных и технических различий между исходными критериями и представление в ISO полученных результатов для содействия разработке международного стандарта.
Официальный текст стандарта ISO/IEC 15408 издан 1 декабря 1999г. По историческим причинам внутри документа был принят термин "Общие критерии" (ОК), хотя его официальное название принятое в ISO, является "Критерии оценки безопасности информационных технологий".
ОК предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий (ИТ) и предназначены для практического применения в деятельности заказчиков, разработчиков и пользователей продуктов и систем используемых в процессах обеспечения безопасности информационных технологий.
Известно, что информация является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Поэтому владельцы ИС вправе ожидать, что их важная (критическая) информация останется приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкционированной модификации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения.
В оценке характеристик безопасности продуктов и систем защиты указанным требованиям заинтересованы в основном потребители, разработчики и оценщики. Представленные критерии структурированы в интересах этих групп, потому что именно они рассматриваются как основные пользователи ОК.
ОК дают возможность сравнения результатов независимых оценок безопасности. Это достигается предоставлением общего набора требований к функциям безопасности продуктов и систем ИТ и к мерам доверия, применяемых к ним при оценке безопасности. В процессе оценки достигается определенный уровень уверенности в том, что функции безопасности таких продуктов или систем, а также предпринимаемые меры доверия отвечают предъявляемым требованиям.
Можно выделить и другие группы пользователей ОК:

лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;
аудиторы, как внутренние, так и внешние, ответственные за оценку адекватности безопасности системы;
проектировщики систем безопасности, ответственные за спецификацию основного содержания безопасности систем и продуктов ИТ;
аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;
заявители, заказывающие оценку и обеспечивающие ее проведение;
органы оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.

Однако следует отметить, что некоторые вопросы обеспечения БИТ не рассматриваются в ОК, поскольку они требуют привлечения специальных методов или являются смежными по отношению к безопасности ИТ. Часть из них перечислена ниже.

ОК не содержат критериев оценки безопасности, таких как организационные меры, управление персоналом, физическая защита и процедурный контроль и др.;
Не рассматриваются вопросы оценки подавления побочных электромагнитных излучений и наводок (ПЭМИН) и других специальных физических аспектов безопасности ИТ;
В ОК не рассматривается ни методология оценки, ни нормативно-правовая база, ни административная структура органов, в рамках которой могут применяться ОК;
Не рассматриваются процедуры использования результатов оценки. Результаты процесса оценки являются важными исходными материалами для процесса аттестации, поэтому аттестующим следует предусмотреть для этих аспектов особый подход;
Критерии для оценки криптографических алгоритмов не входят в ОК, поэтому существует необходимость предусмотреть проведение таких оценок.
Таким образом, ОК играют важную роль в методической поддержке выбора потребителями требований безопасности ИТ для формирования своих потребностей, а также помогают разработчикам при подготовке к оценке своих продуктов или систем защиты информации. Кроме того, ОК могут использоваться для выбора приемлемых мер защиты информации, поскольку в них содержатся критерии оценки требований безопасности.

Статья подготовлена по материалам РД Гостехкомиссии России по защите информации от несанкционированного доступа ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий". Введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187.
Руководящий документ состоит из трех частей.
Часть 1 РД определяет виды требований безопасности (функциональные и требования доверия), основные конструкции представления требований безопасности (профиль защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.
Часть 2 РД содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Часть 3 РД содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.