Определение: ISO 15408 The Common Criteria for Information Technology Security Evaluation — «Общие критерии оценки безопасности информационных технологий», международный стандарт в области безопасности, в котором подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях.

Стандарт ISO 15408 — один из наиболее распространенных стандартов в области безопасности. В его создании приняли участие организации из США, Канады, Англии, Франции, Германии, Голландии. В стандарте, получившем название «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation), подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях.

Функции системы информационной безопасности обеспечивают выполнение требований конфиденциальности, целостности, достоверности и доступности информации. Все функции представлены в виде четырехуровневой иерархической структуры: класс — семейство — компонент — элемент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоставить созданную модель с текущим положением дел. В стандарте выделены 11 классов функций: аудит, идентификация и аутентификация, криптографическая защита, конфиденциальность, передача данных, защита пользовательских данных, управление безопасностью, защита функций безопасности системы, использование ресурсов, доступ к системе, надежность средств.

Оценка информационной безопасности базируется на моделях системы безопасности, состоящих из перечисленных в стандарте функций. В ISO 15408 содержится ряд предопределенных моделей (так называемых профилей), описывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, изобретая велосипед, а пользоваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. Простым примером профилей может служить модель межсетевого экрана или СУБД.

В мире уже создано и сертифицировано большое количество профилей. Каждый из них имеет отличительные черты, в том числе: область применения (например, профили «Контроль доступа» или «Программный межсетевой экран»); уровень надежности; статус сертификации (скажем, «проект», «в стадии разработки» или «сертифицирован»).

Сертифицированный профиль представляет собой полное описание определенной части (или функции) системы безопасности. В нем содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.

Стандарт ISO 15408 выгодно отличает открытость. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с помощью разработанной в ISO 15408 структуры документа. В стандарте определена также последовательность действий для самостоятельного создания профилей.

Отличающийся значительной полнотой, универсализмом и большим потенциалом развития ISO 15408 получил признание во многих странах мира, в том числе и в России. (По инициативе Гостехкомиссии РФ проводится активная работа по гармонизации российских и международных стандартов информационной безопасности; в частности, на основе адаптации ISO 15408 предложен отечественный ГОСТ Р ИСО/ МЭК 15408-х-2002. — Прим. ред.)

Процедуры и требования к сертификации

Гостехкомиссия РФ имеет разработанные процедуры и требования к сертификации различных продуктов. Так, в руководящем документе «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» представлена классификация межсетевых экранов, основанная на перечне показателей защищенности. К данным показателям отнесены:

  • Управление доступом.
  • Идентификация и аутентификация.
  • Регистрация.
  • Администрирование: идентификация и аутентификация.
  • Администрирование: регистрация.
  • Администрирование: простота использования.
  • Целостность.
  • Восстановление.
  • Тестирование.
  • Руководство администратора защиты.
  • Тестовая документация.
  • Конструкторская (проектная) документация.

Кроме того, в документе изложены требования к различным межсетевым экранам и дано подробное описание показателей защищенности для каждого класса.

Так, например, для пятого (самого низкого) класса защищенности показатель «Администрирование: идентификация и аутентификация» определяет требования к идентификации и аутентификации администратора межсетевого экрана. В этом классе доступ осуществляется с помощью идентификатора и пароля условно-постоянного действия. Для первого (наивысшего) класса защищенности правила доступа становятся более жесткими. В частности, предполагается идентификация и аутентификация по биометрическим характеристикам или с помощью специальных устройств (жетонов, карт, электронных ключей) и паролю временного действия. Кроме того, межсетевой экран должен обеспечивать защищенный доступ для удаленных запросов администратора и противодействовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого не подтвердилась.

Профили средств безопасности могут использоваться не только в системе государственной сертификации, но и в деятельности коммерческих организаций. Так, например, для организации с территориально-распределенной инфраструктурой целесообразно установить единые правила по обеспечению защиты данных. В этом случае может быть разработан профиль, описывающий правила доступа и информационного обмена с удаленными объектами.

Павел Рудаков — консультант по аналитике и маркетингу компании NV Consulting. С ним можно связаться по электронной почте

Почувствуйте разницу

Особенности ISO 15408 по сравнению с другими стандартами в области безопасности

Стандарт позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показатели защищенности информации)

Стандарт определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы безопасности

Стандарт позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации