Критерии оценки ИБ
Канадские критерии
Федеральные критерии
Единые критерии оценки информационной безопасности
Общая методология оценки безопасности информационных технологий
Критерии оценки ИБ
В настоящее время можно выделить документы, внесшие вклад в решение проблем обеспечения информационной безопасности:
1. канадские критерии оценки безопасности компьютерных систем;
2. федеральные критерии США;
3. международный стандарт ISO/IEC 15408 или Единые критерии;
Канадские критерии
В Канадских критериях введено такое понятие как «гарантия» - степень доверия, с которой в системе реализована политика безопасности. Политика безопасности представляет собой набор правил, регулирующих использование информации, включая ее хранение, распределение, обработку и представление в системе. Гарантии должны обеспечиваться на всех этапах жизненного цикла информационных продуктов. Каждый оцениваемый продукт должен иметь определенный необходимый уровень гарантий. Уровни гарантий организованы в иерархическую систему и отражают доверие к тому, что политика безопасности системы реализована корректно.
В канадских критериях принято жесткое ограничение, что политика безопасности не зависит от функциональных возможностей. Для этого используется понятие класса. Внутри каждого класса услуги ранжируются в соответствии с реальной стойкостью, избирательностью действий и функциональными возможностями.
При разработке Канадских критериев в основу были положены принципы:
- обязательное измеримое отличие между уровнями услуг;
- независимость от политики безопасности;
Федеральные критерии
«Федеральные критерии безопасности информационных техноло-гий» — первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа.
Развитие американских, европейских и канадских критериев привело к появлению этих критериев, в основе которых лежат Канадские критерии. Их особенностью является достаточная совместимость с ранее использованными стандартами. Критерии используются для оценки различных информационных технологий - от баз данных до операционных систем. Применение критериев дает в результате конкретные и точные данные. Федеральные критерии могут применяться как к коммерческим, так и к военным информационным технологиям в США.
В федеральных критериях компоненты управления доступом
Единые критерии оценки информационной безопасности
Стандарт ISO/IEC 15408 прошел довольно долгий эволюционный курс развития. При его разработке предусматривались тезисы таких документов как TCSEC, ITSEC, CTCPCEC, FC. Также были учтены положения международных стандартов в области защиты информации, например, ISO-7498-2. Единые критерии информационной безопасности хорошо согласованы с имеющимися стандартами, вырабатывают и улучшают их путем введения новейших компонентов обеспечения безопасности для предупреждения большого числа угроз, в том числе в высоких информационных технологиях. В разработке стандарта участвовали эксперты разных компаний.
Общая методология оценки безопасности информационных технологий
Под методологией оценки ИБ подразумевают систему принципов, процессов и процедур, которые применяются в оценке безопасности информационных технологий.
Под схемой оценки ИБ подразумевают совокупность руководящих и нормативных документов, которые обеспечивают интерпретацию и применение критериев оценки ИБ администратором оценки в рамках установленной общности экспертов.
Администратор оценки - лицо, которое имеет полномочия и несет ответственность за реализацию общих критериев в пределах установленной общности экспертов с помощью схемы оценки и, следовательно, через совокупность стандартов и других нормативных документов.
