[МУЗЫКА] Далее
отдельно рассмотрим состоящий из трех частей стандарт Р ИСО/МЭК 15408,
являющийся адаптацией документа «Общие критерии».
Данный государственный стандарт называется полностью «Информационная технология.
Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий».
Его первая часть содержит введение и описание общей модели оценки безопасности
информационных технологий, вторая часть — так называемые функциональные компоненты
безопасности, и третья часть — компоненты доверия к безопасности.
В общей модели указано, как использовать эти функциональные и компоненты доверия
к безопасности, как они взаимосвязаны между собой, и соответственно,
как на основе изучения этих компонентов делается вывод о том,
насколько защищена та или иная информационная система или
информационная технология от различных угроз информационной безопасности.
Данный государственный стандарт является утвержденной в Российской Федерации в
качестве государственного стандарта версией документа «Общие критерии оценки
защищенности информационных технологий», известного также, как «Общие критерии».
Данный документ объединяет и развивает наиболее отработанные подходы
к оценке безопасности информационных систем.
На нашей прошлой лекции мы с вами говорили о такой технологии, как системы
обнаружения атак, а еще лекцией ранее — о политике безопасности организаций.
И на этих двух этапах мы, в общем-то, завершили
строительство системы информационной безопасности объекта информатизации.
А вот эти государственные стандарты — я имею в виду состоящий
из трех частей 15408 — они дают инструмент для того, чтобы оценить,
насколько хороший результат у нас получился, насколько поставленная исходная
задача — защита от актуальных угроз информационной безопасности — выполнена.
О том, как конкретно это будет проводиться, мы далее поговорим подробнее,
отдельно рассмотрев каждую из этих трех частей.
Но пока уточним, для чего, собственно, предназначен данный стандарт.
Его основная задача заключается в обеспечении сопоставимости результатов
независимых оценок безопасности.
Дело в том, что жизненный цикл тех или иных объектов информатизации, средств
обеспечения информационной безопасности предполагает участие различных лиц,
ну например, таких, как производители средств информационной безопасности, тех,
кто разрабатывает проект объекта информатизации и выбирает,
какие средства защиты информации будут в нем использоваться,
конкретные пользователи, администраторы, руководство организации,
которая представляет данный объект информатизации.
У каждого из этих лиц, как правило, есть свое представление о том,
какая должна быть система, чтобы она была надежной.
При проектировании принимаются решения о том,
какие требования к безопасности должны быть выдвинуты,
как они должны соблюдаться, что для этого должно быть использовано.
Производители средств защиты информации знают функциональные требования
к своим объектам продукции, к своим изделиям, но просто конкретного
надежного изделия не достаточно, требуется его правильно эксплуатировать.
А вот вопрос о том, как он правильно эксплуатируется,
тот или иной механизм защиты информации или то или иное
устройство — это уже вопрос, который относится к
администраторам системы безопасности и даже конечным пользователям.
Вот для того, чтобы все эти лица имели бы возможность сопоставлять результаты
своих оценок безопасности планируемого или уже существующего объекта информатизации,
и служит данный государственный стандарт.
Методика оценивания, которая в нем предлагается,
направлена на достижение определенного уровня уверенности в том, что
функциональные возможности безопасности продуктов информационных технологий,
а также предпринятые меры доверия соответствуют предъявляемым требованиям.
То есть сначала устанавливается некий уровень, который требуется достичь,
далее перечисляется перечень средств, которые для этого были использованы,
а далее экспертным образом проводится оценивание того,
действительно ли эти средства корректно применяются и действительно ли заданный
уровень безопасности информации достигнут.
Первая часть данного стандарта содержит общую модель оценивания, вопросы выработки
требований безопасности, интерпретации и использования результатов оценки.
Во второй и третьей частях содержатся описания соответственно функциональных
и компонентов доверия безопасности.
[МУЗЫКА]
[МУЗЫКА]