В основе процессов проектирования, оценки и сертификации средств защиты информации, СВТ и АС в настоящее время лежит международный стандарт ISO 15408 Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation).
Общие критерии определяют требования безопасности, на основании которых проводится оценка уровня защищенности продуктов ИТ, общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности продуктов ИТ.
В Общих критериях представлены две категории требований безопасности: функциональные требования и требования адекватности (гарантированности) механизмов безопасности. Функциональные требования определяют совокупность функций Объекта оценки, обеспечивающих его безопасность. Адекватность — это свойство Объекта оценки, дающее определенную степень уверенности в том, что механизмы безопасности Объекта оценки достаточно эффективны и правильно реализованы. Выводы об адекватности Объекта оценки делаются на основании знаний о его спецификации, реализации и функционировании. Для выражения функциональных требований и требований адекватности в Общих критериях используется единая терминология и стиль.
В Общих критериях определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ. Среди них понятие Профиля защиты (Protection Profile), Задания по безопасности (Security Target) и Объекта оценки (Target of Evaluation). В качестве Объекта оценки может выступать любое СВТ или АС.
Профиль защиты представляет собой жестко структурированный документ, содержащий требования безопасности для определенного класса программно-технических средств. Помимо требований безопасности Профиль защиты описывает множество угроз безопасности и задач защиты, а также содержит обоснование соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.
Задание по безопасности представляет собой жестко структурированный документ, определяющий, помимо требований безопасности, функциональную спецификацию механизмов безопасности конкретного продукта ИТ. Содержащиеся в Задании по безопасности требования безопасности определяются при помощи ссылок на соответствующие Профили защиты и требования Общих критериев. Специфичные для конкретного продукта ИТ требования формулируются отдельно и также включаются в Задание по безопасности. Кроме этого, Задание по безопасности содержит обоснование соответствия между требованиями безопасности и функциональной спецификацией Объекта оценки.
14-15 июня состоится мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями международного стандарта ISO 27001»
