Common Criteria
Крите́рії оці́нки інформаці́йної безпе́ки (англ. Common Criteria) є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступенів захищеності.
З допомогою критеріїв можливо порівняти різні механізми захисту інформації та визначити необхідну функціональність таких механізмів у розробці захищених комп'ютерних систем.
Для характеристики основних критеріїв інформаційної безпеки застосовують модель тріади CIA.
Ця система передбачає такі основні характеристики інформаційної безпеки:
- Конфіденційність,
- цілісність,
- доступність (англ. Confidentiality, Integrity and Availability (CIA)).
Інформаційні системи аналізуються в трьох головних секторах: технічних засобах, програмному забезпеченні і комунікаціях, з метою ідентифікування і застосування промислових стандартів інформаційної безпеки, як механізми захисту і запобігання, на трьох рівнях або шарах: фізичний, особистий і організаційний. По суті, процедури або правила запроваджуються для інформування адміністраторів, користувачів та операторів щодо використання захисної продукції для гарантування інформаційної безпеки в межах організацій.
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України прийняв нормативний документ технічного захисту інформації 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу». НД ТЗІ 2.5-004 було розроблено на основі Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) (т. зв. Канадських критеріїв)[1], який також було використано при розробці Common Criteria.[2]
Функціональні критерії розбиті на три групи вимог захисту проти певних типів загроз:
Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги відносяться до критеріїв конфіденційності. Є 5 головних послуг.
Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. У випадку, якщо існують вимоги щодо обмеження можливості модифікації інформації, то їх відносяться до критеріїв цілісності.
Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то їх відносяться до критеріїв доступності.
Окрім функціональних критеріїв захищеності існують такі критерії гарантій, що дозволяють оцінити коректність реалізації систем захисту. Ці критерії включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації.
Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» (англ. Common Criteria for Information Technology Security Evaluation) описує інфраструктуру (Framework) в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в строгому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій» (англ. Evaluation Criteria for IT Security, ECITS), робота над якими почалася в 1990 році.
Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.
- Міжнародний стандарт ISO/IEC 15408. В Росії цей стандарт введено як «ГОСТ ИСО/МЭК 15408-2002». В Україні стандарт цей документ введено до Плану національної стандартизації на 2007 рік.
- НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».
- ↑ Комплексні системи захисту інформації: бути чи не бути? http://infosafe.ua/article-6 [Архівовано 9 квітня 2018 у Wayback Machine.]
- ↑ Common Criteria: an effective deployment CETIC J.F. Molderez Discussion meeting 02/06/2005 https://www.cetic.be/IMG/pdf/GDD0206-v4.pdf [Архівовано 7 квітня 2022 у Wayback Machine.]
- КОНЦЕПТУАЛЬНА АРХІТЕКТУРА інформаційно-аналітичної системи Міністерства фінансів України
- Нормативні документи технічного захисту інформації [Архівовано 22 січня 2012 у Wayback Machine.]
- НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу»
- Офіційний сайт Common Criteria Project (англ.)
- Міжнародний стандарт ISO/IEC 15408 [Архівовано 12 травня 2008 у Wayback Machine.].
Це незавершена стаття з інформаційної безпеки. Ви можете допомогти проєкту, виправивши або дописавши її. |