В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно — Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий.
В Common Criteria наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня . Общие критерии определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).
При проведении работ по анализу защищенности АС (СВТ) “Общие критерии” используются в качестве основный критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.
Хотя применимость “Общих критериев” ограничивается механизмами безопасности программно-технического уровня, в нем содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Требования к функциональности средств защиты приводятся во второй части “Общих критериев” и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.
В ходе формирования такой области знаний, как компьютерная безопасность, разрабатывались и совершенствовались критерии оценки безопасности. Точность, полнота и понятность этих критериев возрастала по мере того, как уточнялись концепции, формулировались основные принципы компьютерной безопасности, вводились новые понятия и уяснялся смысл старых.
К настоящему времени во многих странах мира разработаны критерии оценки безопасности автоматизированных систем. Еще в начале 80-х в США были разработаны Критерии Оценки Защищенности Компьютерных Систем (TCSEC или Оранжевая книга). В Европе такие критерии (ITSEC) был опубликованы в 1991 году Европейской Комиссией, в состав которой входили представители Франции, Германии, Нидерландов и Великобритании. Затем в Канаде в 1993 году были опубликованы Канадские Критерии Оценки Защищенности Компьютерных Продуктов (CTCPEC), являющиеся дальнейшим развитием и объединением Европейского и Американского подходов. В том же году в США выходит проект Федеральных Критериев Оценки Безопасности ИТ (FC), реализующего второй подход к объединению Северо-Американской и Европейской концепций оценки безопасности. В нашей стране в 1992 году Гостехкомиссией также был разработан РД концептуально схожий с Оранжевой книгой.
Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, должна была закономерно стать разработка международного стандарта для критерия оценки безопасности автоматизированных систем.
ISO начала разработку такого международного стандарта еще в 1990 году. Затем, авторы Канадского (CTCPEC), Европейского (ITSEC) и Американских (FC и TCSEC) критериев в 1993 году объединили свои усилия и начали разработку проекта единых критериев. Целью проекта является устранение концептуальных и технических различий между существующими критериями и предоставление полученных результатов ISO в качестве вклада в разработку международного стандарта.
В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ (а к настоящему времени разработана и передана в ISO их вторая версия). Первая версия этого документа была опубликована в Интернет с целью ее изучения международным сообществом и проведения пробных оценок. Опыт проведения пробных оценок и полученные комментарии предполагается использовать для разработки следующих версий “Единых критериев”. Наряду с “Едиными критериями” был также опубликован ряд других документов, таких как Общая Методика Оценки Безопасности ИТ, Руководство по Проведению Сертификации и Аккредитации Компьютерной безопасности, профили защиты для межсетевых экранов и коммерческих систем. Не имеет особого смысла сравнивать особенности нового и старого подходов к оценке безопасности, т. к. новый подход является дальнейшим развитием предметной области. В настоящее время можно говорить о создании единого языка для формулирования утверждений относительно безопасности автоматизированных систем (требований, угроз и целей защиты) и частичной формализации этой предметной области. Применение содержащихся в этих документах концепций позволит повысить эффективность проводимых оценок и качество получаемых результатов. Это также позволит использовать опыт, накопленный в этой области мировым сообществом.
Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:
- Введение и общая модель
- Функциональные требования безопасности
- Требования к надежности защитных механизмов
- Предопределенные профили защиты
- Процедуры регистрации профилей защиты
Предопределенные профили защиты содержат примеры профилей защиты, представляющие функциональные требования и требования к надежности, определенные в исходных критериях, включая ITSEC, CTCPEC, FC и TCSEC, а также требования не представленные в этих критериях. Четвертая часть «Единых критериев» является реестром профилей защиты, которые прошли процедуру регистрации. Этот реестр будет со временем пополнять по мере регистрации новых профилей защиты в соответствии с процедурой регистрации, описанной в пятой части «Единых критериев». Новые профили защиты будут разрабатываться группами пользователей и поставщиками компьютерных приложений и оцениваться независимыми экспертами в соответствии с требованиями, выраженными в «Единых критериях». Примерами существующих профилей защиты служат разработанные NIST профиль защиты межсетевых экранов (US Goverment Firewall Protection Profile) и профиль защиты коммерческих систем (Commercial Systems 2), соответствующих уровню защищенности класса С2 Оранжевой книги.
Изучение существующих критериев оценки безопасности АС позволяет сделать следующие выводы:
- Для того, чтобы результаты сертификационных испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соответствующими стандартами в этой области и позволяющей контролировать качество оценки безопасности.
- В настоящее время в некоторых странах существуют такие схемы, но они базируются на различных критериях оценки. Однако, эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осуществлять их сравнения. «Единые критерии» поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.
- Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.
- Требования, содержащиеся в «Единых критериях», могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.
- Кроме этого, «Единые критерии» улучшают существующие критерии, вводя новые концепции и уточняя содержание имеющихся.