Сведения о стандартах на территории России

Руководящие документы (РД) Гостехкомиссии России начали появляться несколько позже мировых стандартов, и уже после опубликования «Гармонизированных критериев», подтверждая разницу между автоматизированными системами (АС) и продуктами (средствами вычислительной техники, СВТ), но в общем и целом они долгое время следовали в фарватере «Оранжевой книги».

Первое примечательное отклонение от этого курса произошло в 1997 году, когда был принят РД по отдельному сервису безопасности - межсетевым экранам (МЭ). Его основная идея - классифицировать МЭ на основании осуществляющих фильтрацию потоков данных уровней эталонной семиуровневой модели - получила международное признание и продолжает оставаться актуальной.

В 2002 году Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий", что послужило толчком для кардинальной и весьма своевременной со всех точек зрения переориентации. Переход на рельсы Общих критериев является непростой, но главное разрешимой задачей.

Стандарт ISO 15408 является государственным стандартом России. С 1 января 2004 года введены в действие следующие государственные стандарты (названия см. в таблице 2):

• ГОСТ Р ИСО/МЭК 15408-1-2002;

• ГОСТ Р ИСО/МЭК 15408-2-2002;

• ГОСТ Р ИСО/МЭК 15408-3-2002.

Принятие государственного стандарта, соответствующего Общим критериям, пока не означает взаимного признания сертификатов. Сделав следующий шаг на этом пути и присоединившись к странам, взаимно признающим полученные в них сертификаты, Россия получит существенный импульс в развитии информационных технологий в стране, поскольку:

• потребители смогут сократить свои затраты на сертификацию продуктов;

• сертифицирующие органы смогут привлечь дополнительный поток заказов на сертификацию из-за рубежа;

• производители российских высокотехнологичных продуктов смогут получить международные сертификаты в России, что позволит им выйти на закрытые ранее зарубежные рынки;

• Россия сохранит свои национальные требования при сертификации продуктов на высшие уровни защиты информации, включая защиту государственной тайны.

Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру информационной безопасности и понять, какое место они в ней занимают. Эта структура показана на рис. 4, откуда видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с правовыми и организационно-распорядительными документами. Наименования стандартов приведены в таблице 4.

Рассмотрим более подробно содержание стандартов ИСО/МЭК 15408.

В части 1 (ГОСТ Р ИСО/МЭК 15408-1-2002. Введение и общая модель) устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта:

• Оценка профиля защиты АРЕ.

• Оценка задания по безопасности ASE.

• Поддержка доверия АМА.

Часть 2 (ГОСТ Р ИСО/МЭК 15408-2-2002. Функциональные требования безопасности) представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.

Часть 3 (ГОСТ Р ИСО/МЭК 15408-3-2002. Требования доверия к безопасности) включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оцен-

ки. Под доверием понимается «...основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности».

Интерпретируя содержимое этих частей стандарта, можно сказать: каркас безопасности, заложенный частью 1, заполняется содержимым из классов, семейств и компонентов в части 2, а часть 3 определяет, как оценить прочность всего «строения».