Стандарт ISO/IEС 15408 «Критерии оценки безопасности информационных технологий» 01.12.91

Суть данного стандарта: как произвести оценку безопасности.

Этапы критериев:

1)Определение назначений, целей, требований, условий применения безопасности

2)Проектирование и разработка

3)Испытание, оценка, сертификация

4)Внедрение и эксплуатация

Выделяют системы: 10 классов, 44 семейства, 93 компонента.

Гармонизированные критерии иностранных стран, опубликованные в июне 1991г. Францией, Германией, Нидерландами, Великобританией

Важной чертой является отсутствие требований к условиям, в которых должна работать информационная система.

Организация, запрашивающая сертификационные услуги, формулирует цель оценки, т.е. описывает условия, в которых должны работать системы, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации: оценить насколько полно достигаются поставленные цели, т.е. насколько корректны и эффектны архитектура системы и реализация механизма безопасности в описанных спонсором условиях.

Руководящие документы Гостехкомиссии России

Выпущено два основных документа:

1) «Классификация авторизованных систем» по уровню защищаемости от несанкционированного доступа

2) «Классификация межсетевых экранов»

Согласно первому документу устанавливается 9 классов защищаемости. Каждый класс характеризуется определяемой минимумом совокупностью требований по защите. Классы делятся на три группы: 1,2,3. в пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности информации.

3 группа классифицирует авторизованные системы, в которых работает один пользователь, имеющий доступ ко всей информации авторизованной системы, размещаемой на носителях конфиденциальности. К этой группе относятся: 3А и 3Б.

2 группа классифицирует авторизованные системы, в которых пользователи имеют одинаковые права доступа ко всей информации авторизованной системы, обрабатываемой или хранящейся на носителях различного уровня конфиденциальности. К этой группе относятся: 2А и 2Б.

1 группа классифицирует многопользовательские авторизованные системы, в которых одновременно обрабатывается и хранится информация различных уровней конфиденциальности и не все пользователи имеют право доступа.