Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8697 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 2:

"Общие критерии", часть 1. Основные идеи

< Лекция 1 || Лекция 2: 123 || Лекция 3 >
Аннотация: Рассматривается история создания "Общих критериев", описывается их текущий статус, анализируются основные идеи.
Ключевые слова: группа, ПО, ISO, оценка безопасности, информационные технологии, evaluation, criteria, security, общие критерии, common criteria, security evaluation, продукт, оранжевая книга, международный стандарт, утилита, Internet, опытная эксплуатация, Дополнение, доступ, ООО, вероятность, методология оценки, methodology, information, technology, выход, соглашение о признании, сертификат, изделие ИТ, контроль, права, система, интеллектуальная карта, российский стандарт, Руководящий документ, присоединение, универсальность, объект оценки, безопасность, среда безопасности, отношение, цикла, предположения безопасности, угрозы безопасности, политика безопасности, цели безопасности, требования безопасности, уровень детализации, расширяемость, иерархия, класс, семейство, компонент, элемент, функциональные требования, требования доверия, профиль защиты, краткая спецификация, задание по безопасности, функциональный пакет, отображение, функции безопасности, функциональная спецификация, проект верхнего уровня, проект нижнего уровня, реализация, входная задача, задача оценки, выходная задача, контроль версий, архив, конфиденциальность, множества, подмножество, анализ скрытых каналов, доверие, очередь, анализ, анализ уязвимостей, стойкость функции безопасности, потенциал нападения, базовая, уязвимость, параметр, диапазон, рейтинг, потенциал, рейтинг уязвимостей, пароль, терминал, вывод, функция, технический отчет оценки, представление

История создания и текущий статус "Общих критериев"

В 1990 году Рабочая группа 3 Подкомитета 27 Первого совместного технического комитета (JTC1/SC27/WG3) Международной организации по стандартизации (ISO) приступила к разработке "Критериев оценки безопасности информационных технологий " (Evaluation Criteria for IT Security, ECITS). Несколько позже, в 1993 году, правительственные организации шести североамериканских и европейских стран - Канады, США, Великобритании, Германии, Нидерландов и Франции - занялись составлением так называемых " Общих критериев оценки безопасности информационных технологий " (Common Criteria for IT Security Evaluation). За этим документом исторически закрепилось более короткое название - " Общие критерии ", или ОК (Common Criteria, CC).

Рабочая группа ISO, возглавляемая представителем Швеции, функционировала на общественных началах и действовала весьма неторопливо, пытаясь собрать и увязать между собой мнения экспертов примерно из двух десятков стран, в то время как коллектив "Проекта ОК", финансируемый своими правительствами, несмотря на первоначальное трехлетнее отставание, весьма быстро начал выдавать реальные результаты. Объяснить это нетрудно: в "Проекте ОК" требовалось объединить и развить всего три весьма продвинутых и близких по духу документа - "Гармонизированные критерии Европейских стран", а также "Канадские критерии оценки доверенных компьютерных продуктов " и "Федеральные критерии безопасности информационных технологий " (США). (Сами разработчики " Общих критериев " относят к числу первоисточников еще и "Оранжевую книгу".)

Как правило, круг людей, заседающих в комитетах и комиссиях по информационной безопасности, довольно узок, поэтому нет ничего удивительного в том, что одни и те же представители стран (в частности, США и Великобритании) входили в обе группы разработчиков. Естественно, в таких условиях между коллективом "Проекта ОК" и Рабочей группой 3 установилось тесное взаимодействие. Практически это означало, что группа WG3 стала бесплатным приложением к "Проекту ОК", а сами " Общие критерии " автоматически должны были получить статус не межгосударственного, а международного стандарта.

В ОС Unix есть утилита tee, создающая ответвления каналов путем копирования стандартного вывода в файлы и довольно точно моделирующая взаимоотношения между коллективом "Проекта ОК" и группой WG3. С 1994 года ранние версии ОК становятся рабочими проектами WG3. В 1996 году появилась версия 1.0 " Общих критериев ", которая, помимо публикации в Internet для всеобщего свободного доступа, была одобрена ISO и обнародована в качестве Проекта Комитета.

Широкое открытое обсуждение документа и "опытная эксплуатация" привели к его существенной переработке и выходу версии 2.0 ОК в мае 1998 года. Разумеется, эксперты WG3 не могли ее не отредактировать. Их замечания были учтены в версии 2.1 ОК [ 34 ] - [ 36 ] , принятой в августе 1999 года. (Дополнение: В июле 2005 г. опубликованы новые версии 3.0 ОК и ОМО, в которых предыдущие версии ОК и ОМО подверглись существенной ревизии. В сентябре 2006 года появились версии 3.1 ОК и ОМО, которые и были признаны Управляющим комитетом по Общим критериям официальными версиями ОК и ОМО наряду (на переходный период) с версиями 2.3 ОК и ОМО.) Соответствующий международный стандарт ISO/IEC 15408-1999 [ 53 ] - [ 55 ] введен в действие с 1 декабря 1999 года. Таким образом, фактически стандарт ISO/IEC 15408-1999 и версия 2.1 ОК совпадают, а если пренебречь описываемыми ниже нюансами, их названия могут считаться взаимозаменяемыми. Однако, строго говоря, "Критерии оценки безопасности информационных технологий " и " Общие критерии оценки безопасности информационных технологий " - разные документы, поскольку выпущены под эгидой разных организаций, руководствующихся разными правилами распространения и обновления.

ISO не предоставляет свободный доступ к своим стандартам, они относительно статичны, поскольку их обновляют или подтверждают один раз в пять лет (какие-либо изменения в стандарте ISO/IEC 15408 можно ожидать в 2004 году. Дополнение: ООО "Центр безопасности информации" подготовлена первая редакция проекта ГОСТ Р ИСО/МЭК 15408-1 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель". Соответствующее уведомление о разработке проекта государственного стандарта размещено на сайте Федерального агентства по техническому регулированию и метрологии 20.09.2011 г.). Напротив, портал "Проекта ОК" (http://www.commoncriteriaportal.org) открыт для всех желающих, а разработчики " Общих критериев " постоянно предлагают и принимают изменения, уточнения, интерпретации отдельных положений и готовят третью версию своего документа. Поэтому, с формальной точки зрения, международный стандарт ISO/IEC 15408-1999 по-русски правильнее сокращенно именовать КОБИТ, а не ОК. (Правда, велика вероятность, что рабочая группа ISO любезно согласится и дальше пользоваться плодами "Проекта ОК", естественно, внося в них свои редакторские правки...)

Уточним, что далее, в рамках этой темы, мы будем иметь в виду именно " Общие критерии ", а не стандарт ISO.

С целью унификации процедуры сертификации по " Общим критериям " в августе 1999 года была опубликована "Общая методология оценки безопасности информационных технологий " (Common Methodology for Information Technology Security Evaluation) [ 37 ] , описывающая минимальный набор действий при проведении оценки. "Проект ОК" с самого начала носил не только технический, но и экономико-политический характер. Его цель состояла, в частности, в том, чтобы упростить, удешевить и ускорить выход сертифицированных изделий информационных технологий (ИТ) на мировой рынок. Для этого в мае 2000 года уполномоченные правительственные организации шести стран-основателей "Проекта ОК", а также Австралии и Новой Зеландии, Греции, Италии, Испании, Норвегии, Финляндии и Швеции подписали соглашение "О признании сертификатов по Общим критериям в области безопасности информационных технологий " (позднее к нему присоединились Австрия и Израиль, а в 2003 году — Турция, Венгрия и Япония).

Участие в соглашении предполагает соблюдение двух независимых условий: признание сертификатов, выданных соответствующими органами других стран-участниц, а также возможность осуществления подобной сертификации. Очевидно, от взаимного признания сертификатов выигрывают не только производители, но и потребители изделий ИТ. Что же касается их выдачи, то соглашение предусматривает жесткий контроль при получении и подтверждении этого права (например, предусмотрено проведение так называемых теневых сертификационных испытаний под контролем независимых экспертов). Таким образом, для полноценного участия в соглашении, помимо желания, государство должно располагать органами сертификации с достаточными ресурсами и штатом специалистов, квалификация которых получила официальное международное признание. По данным на конец 2002 года, правом выдачи сертификатов, признаваемых участниками соглашения, обладали Австралия и Новая Зеландия, Великобритания, Германия, Канада, США и Франция.

К началу 2003 года сертификаты по " Общим критериям " получили около семидесяти разнообразных изделий ИТ ведущих производителей: операционные системы, системы управления базами данных, межсетевые экраны, коммуникационные средства, интеллектуальные карты и т.п.; еще почти сорок находились в процессе сертификации.

Определяя статус " Общих критериев " в России, следует отметить, что отечественные специалисты с самого начала внимательно следили за этим проектом, публиковали аналитические обзоры и переводы (см., например, [JI981K]). В 1999 году была организована работа по подготовке российского стандарта и Руководящего документа (РД) Гостехкомиссии России на основе аутентичного перевода ОК. Она велась в тесном контакте с зарубежными коллегами и успешно завершена в 2002 году. Именно тогда был официально издан ГОСТ Р ИСО/МЭК 15408-2002 "Критерии оценки безопасности информационных технологий " 10- [ 12 ] с датой введения в действие 1 января 2004 года. А пока положение регулируется РД Гостехкомиссии России [ 19 ] , который, как и " Общие критерии ", по замыслу разработчиков, должен быть динамичнее стандарта, модифицируясь вместе с ОК.

Российские специалисты - активные участники "Проекта ОК", они вносят предложения по доработке " Общих критериев ", выступают с докладами на конференциях, ведут научно-исследовательские работы, внедряют ОК в практику различных организаций. Следующим логичным шагом стало бы присоединение России к соглашению "О признании сертификатов ".

< Лекция 1 || Лекция 2: 123 || Лекция 3 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Арслан Эркинов
Арслан Эркинов
Казахстан, Кызылорда, Осипенко №8, 2016
Μаксим Εфремов
Μаксим Εфремов
Россия