Стандартизация и сертификация ИС

Проблемами упр-я кач-вом и сертификации ТиУ занимаются во мн.странах мира. Междунар.Орг-ция по Стандарт-ции (International Organization for Standardization, ISO) разрабат., развивает и сов-ет систему стандартов, которые приняты во всем мире.

В 1999 г. МОС(ISO) приняла междунар.стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ, который содержит обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий. К наст.времени во мн.странах мира разраб.критерии оценки безоп-сти автоматиз.систем.

Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок, полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, стала разработка международного стандарта для критерия оценки безопасности автоматизированных систем.

В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ (а к настоящему времени разработана и передана в ISO их вторая версия). Наряду с “Едиными критериями” был также опубликован ряд других документов, таких как Общая Методика Оценки Безопасности ИТ, Руководство по Проведению Сертификации и Аккредитации Компьютерной безопасности, профили защиты для межсетевых экранов и коммерческих систем. В настоящее время можно говорить о создании единого языка для формулирования утверждений относительно безопасности автоматизированных систем (требований, угроз и целей защиты) и частичной формализации этой предметной области. Применение содержащихся в этих документах концепций позволит повысить эффективность проводимых оценок и качество получаемых результатов. Это также позволит использовать опыт, накопленный в этой области мировым сообществом.

Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:

1. Введение и общая модель

2. Функциональные требования безопасности

3. Требования к надежности защитных механизмов

4. Предопределенные профили защиты

5. Процедуры регистрации профилей защиты

Изучение существ.критериев оценки безопасности АС позволяет сделать след.выводы:

1. Для того чтобы результаты сертификац.испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соотв.стандартами в этой области и позволяющей контролировать качество оценки безоп-сти.

2. В наст.время в некоторых странах существуют такие схемы, но они базируются на разл.критериях оценки. Однако эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осущ-ть их сравнения. "Единые критерии" поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.

3. Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.

4. Требования, содержащиеся в "Единых критериях", могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить, удовлетворяет ли данный программ.продукт или система их требованиям безопасности.

5. Кроме этого, "Един.критерии" улучшают существ.критерии, вводя нов.концепции и уточняя сод-е имеющихся.