Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
Наряду с популярным в мире стандартом ИСО 27000 широко применяются и другие нормативные документы в области защиты информации в информационных системах. К ним, например, относятся стандарты серии ИСО/МЭК 15408 «Методы и средства обеспечения безопасности».
На сегодня ГОСТ Р ИСО/МЭК 15408 - самый полный стандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования.
В настоящее время данный документ представлен в качестве трех частей национального стандарта РФ.
| Стандарт | Наименование |
| ГОСТ Р ИСО/МЭК 15408-1-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России |
Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска.
“Общие критерии”, описанные в стандарте, направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.
В первой части (ГОСТ Р ИСО/МЭК 15408-1-2002. “Введение и общая модель”) устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта – APE “Оценка профиля защиты” и ASE “Оценка задания по безопасности”, а также AMA “Поддержка доверия”.
Часть вторая (ГОСТ Р ИСО/МЭК 15408-2-2002. “Функциональные требования безопасности”) представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.
Третья часть (ГОСТ Р ИСО/МЭК 15408-3-2002. “Требования доверия к безопасности”) включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оценки. Под доверием понимается “…основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности”. Способом его достижения считается активное исследование, определяющее свойства безопасности ИТ (причем большее доверие является результатом приложения больших усилий при оценке) и сводящееся к их минимизации для обеспечения необходимого уровня доверия. Одним словом, мы должны свести усилия к минимуму, при этом не переусердствовав в достижении необходимого уровня доверия.
В совокупности три части стандарта последовательно дополняют друг друга:
1. Часть – каркас безопасности,
2. Часть – компоненты безопасности,
3. Часть – оценка безопасности.
Наряду с выше приведенным стандартом, широкое распространение имеет другой стандарт: Информационные технологии. Методы и средства обеспечения безопасности.