Руководящие документы (РД) Гостехкомиссии России начали появляться несколько позже мировых стандартов, и уже после опубликования «Гармонизированных критериев», подтверждая разницу между автоматизированными системами (АС) и продуктами (средствами вычислительной техники, СВТ), но в общем и целом они долгое время следовали в фарватере «Оранжевой книги».
Первое примечательное отклонение от этого курса произошло в 1997 году, когда был принят РД по отдельному сервису безопасности - межсетевым экранам (МЭ). Его основная идея - классифицировать МЭ на основании осуществляющих фильтрацию потоков данных уровней эталонной семиуровневой модели - получила международное признание и продолжает оставаться актуальной.
В 2002 году Гостехкомиссия России приняла в качестве РД русский перевод международного стандарта ISO/IEC 15408:1999 "Критерии оценки безопасности информационных технологий", что послужило толчком для кардинальной и весьма своевременной со всех точек зрения переориентации. Переход на рельсы Общих критериев является непростой, но главное разрешимой задачей.
Стандарт ISO 15408 является государственным стандартом России. С 1 января 2004 года введены в действие следующие государственные стандарты (названия см. в таблице 2):
• ГОСТ Р ИСО/МЭК 15408-1-2002;
• ГОСТ Р ИСО/МЭК 15408-2-2002;
• ГОСТ Р ИСО/МЭК 15408-3-2002.
Принятие государственного стандарта, соответствующего Общим критериям, пока не означает взаимного признания сертификатов. Сделав следующий шаг на этом пути и присоединившись к странам, взаимно признающим полученные в них сертификаты, Россия получит существенный импульс в развитии информационных технологий в стране, поскольку:
• потребители смогут сократить свои затраты на сертификацию продуктов;
• сертифицирующие органы смогут привлечь дополнительный поток заказов на сертификацию из-за рубежа;
• производители российских высокотехнологичных продуктов смогут получить международные сертификаты в России, что позволит им выйти на закрытые ранее зарубежные рынки;
• Россия сохранит свои национальные требования при сертификации продуктов на высшие уровни защиты информации, включая защиту государственной тайны.
Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру информационной безопасности и понять, какое место они в ней занимают. Эта структура показана на рис. 4, откуда видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с правовыми и организационно-распорядительными документами. Наименования стандартов приведены в таблице 4.
Рассмотрим более подробно содержание стандартов ИСО/МЭК 15408.
В части 1 (ГОСТ Р ИСО/МЭК 15408-1-2002. Введение и общая модель) устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта:
• Оценка профиля защиты АРЕ.
• Оценка задания по безопасности ASE.
• Поддержка доверия АМА.
Часть 2 (ГОСТ Р ИСО/МЭК 15408-2-2002. Функциональные требования безопасности) представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.
Часть 3 (ГОСТ Р ИСО/МЭК 15408-3-2002. Требования доверия к безопасности) включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оцен-
ки. Под доверием понимается «...основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности».
Интерпретируя содержимое этих частей стандарта, можно сказать: каркас безопасности, заложенный частью 1, заполняется содержимым из классов, семейств и компонентов в части 2, а часть 3 определяет, как оценить прочность всего «строения».
Конституция Российской Федерации
Федеральные законы и кодексы
Указы и распоряжения Президента Российской Федерации
Постановления Правительства Российской Федерации
Организационно-распорядительные документы по защите информации
Доктрины
Специальные нормативные документы по защите информации
Государственные стандарты
Специальные нормативные документы
Рис. 4. Административно-правовая структура ИБ в России